Open-xchange

Ox App Suite

60 Schwachstellen gefunden.

Hinweis: Diese Liste kann unvollständig sein. Daten werden ohne Gewähr im Ursprungsformat bereitgestellt.
6.1

CVE-2022-37306

Exploit
  • EPSS 0.17%
  • Veröffentlicht 16.04.2023 02:15:08
  • Zuletzt bearbeitet 06.02.2025 18:15:29

OX App Suite before 7.10.6-rev30 allows XSS via an upsell trigger.

4.3

CVE-2022-43699

  • EPSS 0.07%
  • Veröffentlicht 15.04.2023 02:15:07
  • Zuletzt bearbeitet 06.02.2025 20:15:38

OX App Suite before 7.10.6-rev30 allows SSRF because e-mail account discovery disregards the deny-list and thus can be attacked by an adversary who controls the DNS records of an external domain (found in the host part of an e-mail address).

4.3

CVE-2022-43698

  • EPSS 0.09%
  • Veröffentlicht 15.04.2023 02:15:07
  • Zuletzt bearbeitet 06.02.2025 21:15:18

OX App Suite before 7.10.6-rev30 allows SSRF because changing a POP3 account disregards the deny-list.

6.1

CVE-2022-43697

  • EPSS 0.1%
  • Veröffentlicht 15.04.2023 02:15:07
  • Zuletzt bearbeitet 06.02.2025 21:15:17

OX App Suite before 7.10.6-rev30 allows XSS via an activity tracking adapter defined by jslob.

6.1

CVE-2022-43696

  • EPSS 0.1%
  • Veröffentlicht 15.04.2023 02:15:07
  • Zuletzt bearbeitet 06.02.2025 16:15:30

OX App Suite before 7.10.6-rev20 allows XSS via upsell ads.

6.1

CVE-2022-31468

  • EPSS 0.21%
  • Veröffentlicht 25.10.2022 19:15:10
  • Zuletzt bearbeitet 09.05.2025 17:15:49

OX App Suite through 8.2 allows XSS via an attachment or OX Drive content when a client uses the len or off parameter.

9.8

CVE-2022-29851

  • EPSS 1.61%
  • Veröffentlicht 25.10.2022 17:15:51
  • Zuletzt bearbeitet 07.05.2025 14:15:30

documentconverter in OX App Suite through 7.10.6, in a non-default configuration with ghostscript, allows OS Command Injection because file conversion may occur for an EPS document that is disguised as a PDF document.

6.5

CVE-2022-24406

Exploit
  • EPSS 0.25%
  • Veröffentlicht 27.07.2022 14:15:08
  • Zuletzt bearbeitet 21.11.2024 06:50:21

OX App Suite through 7.10.6 allows SSRF because multipart/form-data boundaries are predictable, and this can lead to injection into internal Documentconverter API calls.

9.8

CVE-2022-24405

Exploit
  • EPSS 8%
  • Veröffentlicht 27.07.2022 14:15:08
  • Zuletzt bearbeitet 21.11.2024 06:50:21

OX App Suite through 7.10.6 allows OS Command Injection via a serialized Java class to the Documentconverter API.

6.1

CVE-2022-23101

Exploit
  • EPSS 0.49%
  • Veröffentlicht 27.07.2022 14:15:08
  • Zuletzt bearbeitet 21.11.2024 06:47:59

OX App Suite through 7.10.6 allows XSS via appHandler in a deep link in an e-mail message.