CVE-2024-45045

Collabora Online is a collaborative online office suite based on LibreOffice technology. In the mobile (Android/iOS) device variants of Collabora Online it was possible to inject JavaScript via url encoded values in links contained in documents. Since the Android JavaScript interface allows access to internal functions, the likelihood that the app could be compromised via this vulnerability is considered high. Non-mobile variants are not affected. Mobile variants should update to the latest version provided by the platform appstore. There are no known workarounds for this vulnerability.
Configurations

Configuration 1 (hide)

AND
cpe:2.3:a:collabora:online:*:*:*:*:*:*:*:*
cpe:2.3:o:google:android:-:*:*:*:*:*:*:*

History

03 Sep 2024, 15:13

Type Values Removed Values Added
References () https://github.com/CollaboraOnline/online/security/advisories/GHSA-78cg-rg4q-26qv - () https://github.com/CollaboraOnline/online/security/advisories/GHSA-78cg-rg4q-26qv - Vendor Advisory
CWE CWE-79
CVSS v2 : unknown
v3 : 6.3
v2 : unknown
v3 : 6.1
First Time Collabora online
Collabora
Google android
Google
CPE cpe:2.3:a:collabora:online:*:*:*:*:*:*:*:*
cpe:2.3:o:google:android:-:*:*:*:*:*:*:*

30 Aug 2024, 13:00

Type Values Removed Values Added
Summary
  • (es) Collabora Online es una suite de oficina colaborativa en línea basada en la tecnología LibreOffice. En las variantes de Collabora Online para dispositivos móviles (Android/iOS) era posible inyectar JavaScript a través de valores codificados en URL en enlaces contenidos en documentos. Dado que la interfaz JavaScript de Android permite el acceso a funciones internas, la probabilidad de que la aplicación pueda verse comprometida a través de esta vulnerabilidad se considera alta. Las variantes que no son para dispositivos móviles no se ven afectadas. Las variantes para dispositivos móviles deben actualizarse a la última versión proporcionada por la tienda de aplicaciones de la plataforma. No se conocen workarounds para esta vulnerabilidad.

29 Aug 2024, 17:15

Type Values Removed Values Added
New CVE

Information

Published : 2024-08-29 17:15

Updated : 2024-09-03 15:13


NVD link : CVE-2024-45045

Mitre link : CVE-2024-45045

CVE.ORG link : CVE-2024-45045


JSON object : View

Products Affected

collabora

  • online

google

  • android
CWE
CWE-79

Improper Neutralization of Input During Web Page Generation ('Cross-site Scripting')

CWE-84

Improper Neutralization of Encoded URI Schemes in a Web Page