Se ha anunciado una vulnerabilidad en Novell GroupWise
2014, que podría permitir a atacantes remotos construir ataques de cross-site
scripting.
Novell GroupWise es un software de colaboración con
funcionalidades para uso de correo electrónico, calendarios, mensajería
instantánea, coordinación de tareas, control de documentación, etc. En la
actualidad Novell forma parte de Micro Focus.
El problema (con CVE-2016-9169) reside en la consola web
de GroupWise Document Viewer Agent que podría permtir a un atacante remoto
crear una URL, que al ser cargada por el usuario permita la ejecución de código
script. Con ello el atacante podría acceder a las cookies (incluyendo las de
autenticación) y a información recientemente enviada, además de poder realizar
acciones en el sitio haciéndose pasar por la víctima.
- Para resolver esta vulnerabilidad se recomienda aplicar GroupWise 2014 R2 Support Pack 1 Hot Patch 2 (o posterior).
- Security
Vulnerability - Reflected Cross-site scripting (XSS) vulnerability in
GroupWise Document Viewer Agent (DVA) http://www.novell.com/support/kb/doc.php?id=7018371