Group-Office — это инструмент управления взаимоотношениями с корпоративными клиентами и ПО для групповой работы. До версий 6.8.155, 25.0.88 и 26.0.10 в установщике GroupOffice, конечная точка install/license.php, существовала отраженная XSS-уязвимость. Лицензия поля POST отображается без экранирования внутри <textarea>, что позволяет выполнить прорыв </textarea><script>...</script>.
Эта проблема исправлена в версиях 6.8.155, 25.0.88 и 26.0.10.
Показать оригинальное описание (EN)
Group-Office is an enterprise customer relationship management and groupware tool. Prior to versions 6.8.155, 25.0.88, and 26.0.10, there is a reflected XSS vulnerability in the GroupOffice installer, endpoint install/license.php. The POST field license is rendered without escaping inside a <textarea>, allowing a </textarea><script>...</script> breakout.. This issue has been patched in versions 6.8.155, 25.0.88, and 26.0.10.
Характеристики атаки
Последствия
Строка CVSS v4.0