Cabecera-v2-web.jpg

Cross-Site scripting en Novell GroupWise


Se ha anunciado una vulnerabilidad en Novell GroupWise 2014, que podrí­a permitir a atacantes remotos construir ataques de cross-site scripting.

Novell GroupWise es un software de colaboración con funcionalidades para uso de correo electrónico, calendarios, mensajerí­a instantánea, coordinación de tareas, control de documentación, etc. En la actualidad Novell forma parte de Micro Focus.

El problema (con CVE-2016-9169) reside en la consola web de GroupWise Document Viewer Agent que podrí­a permtir a un atacante remoto crear una URL, que al ser cargada por el usuario permita la ejecución de código script. Con ello el atacante podrí­a acceder a las cookies (incluyendo las de autenticación) y a información recientemente enviada, además de poder realizar acciones en el sitio haciéndose pasar por la ví­ctima.

Para resolver esta vulnerabilidad se recomienda aplicar GroupWise 2014 R2 Support Pack 1 Hot Patch 2 (o posterior).


Novell-GroupWise.PNG


Fuente: hispasec.com


pie.png

CERT-PY | Centro de Respuestas a Incidentes Cibernéticos
Ministerio de Tencnologí­as de la Información y Comunicación (MITIC)

Avda. Gral. Santos c/ Concordia | Telefono: (595 21) 217-9000
República del Paraguay

80x15.png

Versión del Template 1.11