Novell GroupWise WebAccess, Cross-Site scripting attack

Novell GroupWise WebAccess ve verzi 6.5 SP4 a starší je zranitelný vůči Cross-Site Scripting útoku. Zneužitím chyby, využívající nedostatečně ošetřený vstup HTML tagu „<IMG>” v těle emailu, může útočník spouštět libovolný kód v uživatelově prohlížeči. Takový kód potom poběží v bezpečnostním kontextu stránky s aplikaci WebAccess a tak může útočník získat přistup např. k autentizačním cookies apod. Původní oznámení naleznete zde. Patch je k dispozici na stránkách výrobce.