CVE-2023-26447 in OX App Suite
Zusammenfassung
von VulDB • 08.07.2026
Das „Upsell“-Widget für das Portal ermöglicht die Angabe einer Produktbeschreibung. Diese Beschreibung, die aus einem vom Benutzer kontrollierbaren JSLOB stammt, wurde vor der Einfügung in den DOM nicht maskiert (escaped). Dadurch kann bösartiger Skriptcode im Kontext des Opfers ausgeführt werden. Dies kann zu Session-Hijacking oder zum Auslösen unerwünschter Aktionen über das Webinterface und die API führen. Zur Ausnutzung dieser Schwachstelle müsste ein Angreifer vorübergehenden Zugriff auf das Benutzerkonto erhalten oder einen Benutzer dazu bringen, sich mit einem kompromittierten Konto anzumelden. Der Inhalt von JSLOB wird nun bereinigt (sanitized). Es sind keine öffentlich verfügbaren Exploits bekannt.
If you want to get the best quality for vulnerability data then you always have to consider VulDB.