Open-Xchange, fournisseur de logiciels de technologie et d’infrastructure diversifiés, a publié des correctifs pour plusieurs vulnérabilités de sécurité affectant OX App Suite.

Disponible en tant que solution sur site ou dans le cadre de l’offre cloud de l’organisation, OX App Suite est un logiciel de messagerie et de collaboration sécurisé conçu pour les opérateurs de télécommunications, les sociétés d’hébergement Web et les fournisseurs de services.

La dernière version du correctif inclut des correctifs pour deux vulnérabilités d’exécution de code à distance (RCE) qui ont été découvertes dans le composant de conversion de documents du logiciel. CVE-2022-23100 et CVE-2022-24405 ont obtenu des scores CVSS de 8,2 et 7,3, respectivement.

Il a également été découvert que l’API du convertisseur de documents abritait une vulnérabilité de falsification de requête côté serveur (SSRF) (CVE-2022-24406) qui permettait potentiellement aux attaquants de prédire données de formulaire en plusieurs parties limites et écraser son contenu.

Correctifs préventifs

Plus bas dans la liste de gravité se trouvent deux failles de script intersite (XSS) affectant OX App Suite (CVE-2022-23099, CVE-2022-23101). Pour exploiter ces failles, un attaquant devrait forcer une victime à cliquer sur un lien malveillant.

À la suite du problème Log4Shell qui a secoué l’industrie mondiale du développement de logiciels en décembre dernier, OX App Suite inclut également une mise à jour qui résout un problème potentiel similaire dans le composant Logback (CVE-2021-42550).

VOUS POURRIEZ AUSSI AIMER Cisco corrige un trio de bogues dangereux dans le tableau de bord Nexus

« Dans sa configuration par défaut, OX App Suite n’est pas sensible à cette vulnérabilité et aucun scénario ne nécessite de déployer une configuration vulnérable », a déclaré Open-Xchange. conseil en sécurité lit.

« Nous fournissons cette mise à jour strictement à titre de précaution pour atténuer la possibilité d’une vulnérabilité. L’exploitation de CVE-2021-42550 à ce stade nécessiterait un accès privilégié pour modifier la configuration du système.

Entrée externe

Lorsqu’on lui a demandé si les vulnérabilités avaient été découvertes dans le cadre des programme de primes aux boguesa déclaré le RSSI d’Open-Xchange Martin Heiland La gorgée quotidienne: « Pour cet avis, c’était du 50/50. Nous utilisons les contributions du programme de primes de bogues comme source d’inspiration pour nos recherches internes.

« Dans ce cas, l’impact total d’un problème apparemment « moyen » signalé via le programme de primes a conduit à un processus d’examen approfondi et à la découverte d’une faille potentielle d’exécution de code à distance. »

Heiland a ajouté : « La combinaison d’examens internes et d’apports externes rend notre programme très percutant et contribue à l’apprentissage continu et à la remise en question de nos équipes d’ingénieurs. Je dirige le programme Bug Bounty depuis environ six ans, et il a été très efficace pour nos applications Web.

Les vulnérabilités affectent les versions 7.10.6 et antérieures d’OX App Suite. Ils ont tous été corrigés par le fournisseur dans diverses mises à jour de branche.

« La plupart des utilisateurs exécutent un déploiement automatisé et notre propre service hébergé utilise une automatisation/orchestration « cloud native », ce qui permet des mises à jour très rapides », a déclaré Heiland. « Bien sûr, nous conseillons de mettre à jour dès que possible, quelle que soit la méthode de déploiement. »

CONSEILLÉ Les bogues de contournement de l’authentification FileWave MDM exposent les appareils gérés à un risque de piratage