Reportaron una vulnerabilidad en Novell GroupWise, que podría permitir a atacantes remotos la construcción de ataques de cross-site scripting.

Novell GroupWise es un software de colaboración con funcionalidades para uso de correo electrónico, calendarios, mensajería instantánea, coordinación de tareas, control de documentación, etc. WebAccess permite el acceso a las funcionalidades de GroupWise a través de un cliente web.. 

 
El problema (con CVE-2013-1086) reside en que las entradas a la interfaz WebAccess a través de atributo "onError" no son debidamente depuradas antes de ser devueltas al usuario. Esto permite a usuarios remotos la ejecución arbitraria de código script en el navegador del usuario. Con ello el atacante podría acceder a las cookies (incluyendo las de autenticación) y a información recientemente enviada, además de poder realizar acciones en el sitio haciéndose pasar por la víctima. 
 
La vulnerabilidad se ha confirmado en las versiones 8.03 HP2 (y anteriores) y en las versiones 12.0.1 HP1 (y anteriores). Se recomienda aplicar GroupWise 8.0.3 HP3 o GroupWise 2012 Support Pack 2. 
 
Opina sobre esta noticia: 
http://unaaldia.hispasec.com/2013/04/vulnerabilidad-de-cross-site-scripting.html#comments
 
Más información:
 
Security Vulnerability: GroupWise WebAccess Cross-site Scripting (XSS) Vulnerability in "OnError" Parameter
http://www.novell.com/support/kb/doc.php?id=7012064

Fuente:
Antonio Ropero
antonior@hispasec.com
Twitter: @aropero
Laboratorio Hispasec
www.hispasec.com

Imagen:
Fotos Digitales Gratis
www.fotosdigitalesgratis.com

Logotipos/Imágenes/Texto MR Respectiva/s Compañía/s mencionada/s en la noticia.
Portal de Seguridad Informática, Tecnología e Internet
Descargas Antivirus/Antimalware
www.antivirusgratis.com.ar