Se ha reportado un nuevo aviso de seguridad sobre múltiples vulnerabilidades que afectan a OX App Suite, que permitirían a un atacante realizar ejecución remota de código (RCE), ataques cross-site scripting (XSS), entre otros.
Open-Xchange ha reportado un total de 6 vulnerabilidades en el Aviso de seguridad. Las principales se detallan a continuación:
- CVE-2022-23100, y CVE-2022-24405 , ambas de severidad “Alta” y sin puntuación asignada aún. Estas vulnerabilidades se deben a un error en el componente Documentconverter de OX App Suite. Un atacante podría realizar ejecución remota de código (RCE) en el sistema afectado.
- CVE-2022-23099, y CVE-2022-23101 , ambas de severidad “Alta” y sin puntuación asignada aún. Estas vulnerabilidades se deben a una falla en la función appHandler del componente E-Mail Message Handler. Un atacante remoto podría engañar a la víctima para que ingrese a un enlace especialmente diseñado y ejecute código HTML.
Puede acceder a la lista completa de vulnerabilidades aquí.
El producto afectado es:
- OX App Suite, versiones 7.10.6 y anteriores.
Recomendamos instalar las actualizaciones correspondientes provistas por Open-Xchange en el siguiente enlace:
Referencias:
- https://portswigger.net/daily-swig/open-xchange-issues-fixes-for-rce-ssrf-bugs-in-ox-app-suite?&web_view=true
- https://nvd.nist.gov/vuln/detail/CVE-2022-23100
- https://nvd.nist.gov/vuln/detail/CVE-2022-24405
- https://nvd.nist.gov/vuln/detail/CVE-2022-23099
- https://nvd.nist.gov/vuln/detail/CVE-2022-23101
- https://seclists.org/fulldisclosure/2022/Jul/11
- https://www.open-xchange.com/resources/ox-support/general-information/?hsCtaTracking=6ae28d83-eb46-4636-83d1-2f918accf78c%7C947c5d9b-bc97-4068-bbf6-86aa7224698b#contact