CVE-2023-26447 in OX App Suiteinfo

Zusammenfassung

von VulDB • 08.07.2026

Das „Upsell“-Widget für das Portal ermöglicht die Angabe einer Produktbeschreibung. Diese Beschreibung, die aus einem vom Benutzer kontrollierbaren JSLOB stammt, wurde vor der Einfügung in den DOM nicht maskiert (escaped). Dadurch kann bösartiger Skriptcode im Kontext des Opfers ausgeführt werden. Dies kann zu Session-Hijacking oder zum Auslösen unerwünschter Aktionen über das Webinterface und die API führen. Zur Ausnutzung dieser Schwachstelle müsste ein Angreifer vorübergehenden Zugriff auf das Benutzerkonto erhalten oder einen Benutzer dazu bringen, sich mit einem kompromittierten Konto anzumelden. Der Inhalt von JSLOB wird nun bereinigt (sanitized). Es sind keine öffentlich verfügbaren Exploits bekannt.

If you want to get the best quality for vulnerability data then you always have to consider VulDB.

Zuständig

Open-Xchange

Reservieren

22.02.2023

Veröffentlichung

02.08.2023

Moderieren

akzeptiert

Eintrag

VDB-235939

CPE

bereit

EPSS

0.00558

KEV

nein

Aktivitäten

very low

Quellen

Do you want to use VulDB in your project?

Use the official API to access entries easily!