多元化技术和基础设施软件提供商Open-Xchange已针对影响OX App Suite的多个安全漏洞发布了修复程序。OX App Suite可作为本地解决方案或作为组织云产品的一部分提供，是专为电信公司、网络托管公司和服务提供商设计的安全电子邮件和协作软件。最新的补丁版本包括对软件文档转换器组件中发现的两个远程代码执行(RCE)漏洞的修复。CVE-2022-23100和CVE-2022-24405的CVSS分数分别为8.2和7.3。还发现文档转换器API存在服务器端请求伪造(SSRF)漏洞(CVE-2022-24406)，该漏洞可能允许攻击者预测多部分表单数据边界并覆盖其内容。

在严重性列表的下方是两个影响OX App Suite的跨站点脚本(XSS)漏洞（CVE-2022-23099、CVE-2022-23101）。为了利用这些漏洞，攻击者需要强迫受害者点击恶意链接。

在去年12月震惊全球软件开发行业的Log4Shell问题之后，OX App Suite还包括一个更新，该更新解决了Logback组件中的类似潜在问题(CVE-2021-42550)。

“在其默认配置下，OX App Suite不易受此漏洞的影响，并且没有需要部署易受攻击的配置的场景，”Open-Xchange安全公告写道。

“我们严格提供此更新作为预防措施，以减轻漏洞的可能性。此时利用CVE-2021-42550将需要特权访问来更改系统配置。”

当被问及这些漏洞是否是公司漏洞赏金计划的一部分时，Open-Xchange首席信息安全官Martin Heiland说：“对于这个公告，这是一个50/50的事情。我们使用来自错误赏金计划的输入作为我们内部研究的灵感。

“在这种情况下，通过赏金计划报告的看似‘中等’问题的全面影响导致了彻底的审查过程并发现了潜在的远程代码执行缺陷。”

Heiland补充说：“将内部审查与外部意见相结合，使我们的计划非常有影响力，有助于我们的工程团队不断学习和挑战。我已经运行了大约六年的漏洞赏金计划，它对我们的Web应用程序非常成功。”

这些漏洞影响OX App Suite版本7.10.6及更早版本。它们都已由供应商在各种分支更新中修复。

“大多数用户运行自动化部署，我们自己的托管服务使用'云原生'自动化/编排，这允许非常快速的更新，”Heiland说。“当然，无论采用何种部署方式，我们都建议尽快更新。”