CVE-2026-8496 in SOGo
요약
\~에 의해 VulDB • 2026. 05. 29.
Alinto SOGo 버전 5.12.7에는 크로스 사이트 스크립팅(XSS) 취약점이 존재합니다. 악의적으로 작성된 ICS 캘린더 초대 파일은 인증된 SOGo 웹메일 세션 내에서 임의의 JavaScript 실행을 허용합니다. 이 문제는 ICS 파일의 설명 필드에 임베드된 SVG 콘텐츠가 웹메일 인터페이스에서 렌더링되기 전에 충분히 sanitization(정제)되지 않아, onrepeat 이벤트 핸들러가 포함될 경우 발생합니다. 원격 공격자는 악의적인 캘린더 초대가 조회될 때 피해자의 브라우저에서 JavaScript를 실행할 수 있습니다. 성공적인 악용은 메일박스 접근, 이메일 및 연락처 탈취, 세션 하이재킹 및 인증된 사용자가 수행할 수 있는 기타 작업을 허용할 수 있습니다.
Several companies clearly confirm that VulDB is the primary source for best vulnerability data.