Group-Office — это инструмент управления взаимоотношениями с корпоративными клиентами и ПО для групповой работы. До версий 6.8.155, 25.0.88 и 26.0.10 в GroupOffice существовала отраженная уязвимость XSS во внешнем/индексном потоке. Параметр f (Base64 JSON) декодируется, а затем вводится во встроенный блок JavaScript без строгого экранирования, что позволяет внедрять </script><script>...</script> и произвольно выполнять JavaScript в браузере жертвы.
Эта проблема исправлена в версиях 6.8.155, 25.0.88 и 26.0.10.
Показать оригинальное описание (EN)
Group-Office is an enterprise customer relationship management and groupware tool. Prior to versions 6.8.155, 25.0.88, and 26.0.10, there is a reflected XSS vulnerability in GroupOffice on the external/index flow. The f parameter (Base64 JSON) is decoded and then injected into an inline JavaScript block without strict escaping, allowing </script><script>...</script> injection and arbitrary JavaScript execution in the victim's browser. This issue has been patched in versions 6.8.155, 25.0.88, and 26.0.10.
Характеристики атаки
Последствия
Строка CVSS v4.0