Se
ha anunciado una vulnerabilidad en Novell GroupWise 2014, que podría permitir a
atacantes remotos construir ataques de cross-site scripting.
Novell GroupWise es un software
de colaboración con funcionalidades para uso de correo electrónico,
calendarios, mensajería instantánea, coordinación de tareas, control de
documentación, etc. En la actualidad Novell forma
parte de Micro Focus.
El problema (con CVE-2016-9169)
reside en la consola web de GroupWise Document Viewer Agent que podría permtir
a un atacante remoto crear una URL, que al ser cargada por el usuario permita
la ejecución de código script. Con ello el atacante podría acceder a las
cookies (incluyendo las de autenticación) y a información recientemente
enviada, además de poder realizar acciones en el sitio haciéndose pasar por la
víctima.
Para resolver esta vulnerabilidad
se recomienda aplicar GroupWise 2014 R2 Support Pack 1 Hot Patch 2 (o
posterior).
Más información:
Security Vulnerability - Reflected Cross-site
scripting (XSS) vulnerability in GroupWise Document Viewer Agent (DVA)
Antonio Ropero
Twitter: @aropero
No hay comentarios:
Publicar un comentario