Vulnerabilidad de inserción de scripts en Novell GroupWise 6.5

Se ha descubierto una vulnerabilidad en Novell GroupWise 6.5 que puede ser explotada por usuarios maliciosos para realizar ataques de inserción de scripts.

Novell GroupWise es un software de colaboración con funcionalidades para uso de correo electrónico, calendarios, mensajería instantánea, coordinación de tareas, control de documentación, etc.

La vulnerabilidad en sí se debe a la falta de robustez en el proceso de filtrado de entradas usadas por el componente WebAccess. Esta circunstancia puede ser explotada por atacantes para construir correos electrónicos maliciosos que ejecutarían código HTML y scripts arbitrarios en el navegador de la víctima al ser visualizados (en el contexto de seguridad del sitio afectado).

La vulnerabilidad ha sido corregida en cualquier distribuición de GroupWise 6.5 con fecha posterior al 11 de julio de este año, y en GroupWise 6.5 WebAccess SP5 Field Test File revision D. Esta corrección también será incluida en el Service Pack 5 del producto.