聚焦源代码安全,网罗国内外最新资讯!
编译:代码卫士
多样化技术和基础设施软件提供商 Open-Xchange 发布了影响 OX App Suite 的多个漏洞的修复方案。
OX App Suite 是一款本地解决方案或是该组织机构云服务的组成部分,专为电信、web 托管企业和服务提供商设计的加密邮件和协作软件。
最新的补丁发布修复了位于该软件文档转换器组件中的两个远程代码执行漏洞CVE-2022-23100和CVE-2022-24405,CVSS 评分分别为8.2和7.3。该文档转换器 API 中也包含一个服务器端请求伪造漏洞 (CVE-2022-24406),可使攻击者预测 multipart-formdata 边界并覆写其内容。
另外,Open-Xchange 还修复了影响 OX App Suite 的两个跨站点脚本 (XSS) 漏洞CVE-2022-23099和CVE-2022-23101。攻击者需要强迫受害者点击恶意链接才能利用这些漏洞。去年12月爆出Log4Shell 漏洞后,OX App Suite 还包含了一个安全更新,解决了位于 Logback 组件中的一个类似的潜在漏洞 (CVE-2021-42550)。
Open-Xchange 发布安全公告指出,“在默认配置情况下,OX App Suite 并不受该漏洞影响,并不存在要求部署易受攻击配置的场景。我们提供这一更新是作为防御性措施,缓解漏洞的可能性。利用CVE-2021-42550要求具有提升后的权限来修改系统配置。”
当提到这些漏洞是否是通过该公司漏洞奖励计划发现时,Open-Xchange 公司的首席信息安全官 Martin Heiland指出,“对于这份安全公告来说,各占一半。我们将漏洞奖励计划中的输入作为内部研究的灵感来源。在本案例中,通过该漏洞奖励计划报告的看似‘中危’问题的完整影响,促使我们全面审查并发现了一个潜在的远程代码执行缺陷。”
Heiland 指出,“内部审计和外部输入使我们的计划影响力巨大,且有助于持续学习并挑战工程团队。我运行这一漏洞奖励计划已有六年的时间,它在web应用方面非常成功。”
这些漏洞影响 OX App Suite 版本7.10.6及更早版本。厂商已在不同的分支更新中修复。
Heiland 指出,“多数用户运行自动化部署,我们自身的托管服务使用‘云原生’自动化/协作,便于非常迅速的更新。当然,我们建议不管部署方法是什么,我们建议尽快进行更新。”
https://portswigger.net/daily-swig/open-xchange-issues-fixes-for-rce-ssrf-bugs-in-ox-app-suite
题图:Pixabay License
本文由奇安信编译,不代表奇安信观点。转载请注明“转自奇安信代码卫士 https://codesafe.qianxin.com”。
奇安信代码卫士 (codesafe)
国内首个专注于软件开发安全的产品线。
觉得不错,就点个 “在看” 或 "赞” 吧~