Novell GroupWise WebAccess ve Internet Agent uygulamalarında birkaç açıklık tesbit edilmiştir.
1. XSS açıklığı. Olması gerektiği gibi filtrelenmeyen "style" etiketleri kullanılarak yapılan saldırıda, herhangi bir kodun çalıştırılmasına izin verilmektedir.
2. WebAccess uygulamasının tarayıcı üzerinden çalıştırılabilecek betiklerin kontrolü için kullanmış olduğu modülde açıklık bulunmuştur. Açıklığın kullanılması sonucu, yetkili bir kullanıcı olarak sistem kullanılabilmektedir.
3. WebAccess uygulamasının, girdi ayıklama prosedürlerinde mevcut bir açıklık kullanılarak giriş sayfasının değiştirilebilmesi mümkün olmakta ve WebAccess sisteminin kullanımı engellenebilmektedir.
4. Detayları tam olarak açıklanmamakla beraber, Internet Agent uygulamasının SMTP isteklerini yorumlama işleminde bir açıklık olduğu tesbit edilmiştir. Başarılı bir saldırı, herhangi bir kodun çalıştırılmasına izin vermektedir.
5. WebAccess uygulamasının oturum yönetiminde oluşan bir açıklık, saldırganın yetkili bir kullanıcının hakları ile işlem yapmasına izin vermektedir.
6. Internet Agent uygulaması, bazı email adres formatlarını olması gerektiği gibi yorumlayamamakta ve oluşan açıklığın kullanıması sonucu, sistem kullanıcı yetkisiyle herhangi bir kod çalıştırılması mümkün olabilmektedir.
Etki:
Istenmeyen Kod Çalıştırılması, Yetki Artırımı, Hesap Çalma
Yüksek