アドバイザリ日付: 2021-11-18 製品: OX App Suite, OX Documents ベンダー: OX Software GmbH 主要な脆弱性: 1. MWB-993: クロスサイトスクリプティング (CWE-80) - 対象コンポーネント: バックエンド - CVSS: 5.3 - リスク: 悪意のあるスクリプトコードの実行 2. MWB-1067: コードインジェクション (CWE-94) - 対象コンポーネント: ミドルウェア - CVSS: 3.9 - リスク: 任意のJavaコードの実行 3. MWB-1094: クロスサイトスクリプティング (CWE-80) - 対象コンポーネント: バックエンド - CVSS: 3.5 - リスク: 悪意のあるスクリプトコードの実行 4. DOCS-3309:相対パストラバースループラバーサリ (CWE-23) - 対象コンポーネント: オフィス - CVSS: 6.4 - リスク: 書き込み可能なファイルの上書き 5. OXUIB-770: 不適切な入力検証 (CWE-20) - 対象コンポーネント: フロントエンド - CVSS: 5.4 - リスク: 悪意のあるOX Chatサーバーへのリダイレクト 6. OXUIB-771: クロスサイトスクリプティング (CWE-80) - 対象コンポーネント: バックエンド - CVSS: 5.3 - リスク: 悪意のあるスクリプトコードの実行 7. OXUIB-809: クロスサイトスクリプティング (CWE-80) - 対象コンポーネント: フロントエンド - CVSS: 5.3 - リスク: 悪意のあるスクリプトコードの実行 8. OXUIB-837: クロスサイトスクリプティング (CWE-80) - 対象コンポーネント: フロントエンド - CVSS: 5.3 - リスク: 悪意のあるスクリプトコードの実行 9. OXUIB-838: クロスサイトスクリプティング (CWE-80) - 対象コンポーネント: フロントエンド - CVSS: 5.3 - リスク: 悪意のあるスクリプトコードの実行 一般的な解決策: sanitizationおよび入力検証の改善 修正済みバージョン: 7.10.3-rev35, 7.10.4-rev25, 7.10.5-rev13