<?xml version="1.0" encoding="UTF-8"?>
<rss version="2.0" xmlns:atom="http://www.w3.org/2005/Atom">
  <channel>
    <title>xonatec TI-Feed: Open-Xchange (OX App Suite)</title>
    <link>https://feed.xonatec.ch/produkte/open-xchange</link>
    <description>Priorisierte Schwachstellen-Reports für Open-Xchange (OX App Suite). Kostenlos &amp; offen, stündlich aktualisiert.</description>
    <language>de</language>
    <lastBuildDate>Wed, 03 Jun 2026 00:00:00 GMT</lastBuildDate>
    <atom:link href="https://feed.xonatec.ch/rss/produkt/open-xchange.xml" rel="self" type="application/rss+xml" />
    <generator>xonatec TI-Feed RSS Generator</generator>
    <item>
      <title>CVE-2025-59032 — ManageSieve – Absturz durch AUTHENTICATE-Befehl mit Literal als SASL-Antwort</title>
      <link>https://feed.xonatec.ch/reports/cve-2025-59032</link>
      <guid isPermaLink="true">https://feed.xonatec.ch/reports/cve-2025-59032</guid>
      <pubDate>Wed, 03 Jun 2026 00:00:00 GMT</pubDate>
      <description>Im ManageSieve-Dienst von Open-Xchange kann der AUTHENTICATE-Befehl abstürzen, wenn ein Literal als initiale SASL-Antwort verwendet wird. Ein Angreifer kann dies wiederholt ausnutzen, um den ManageSieve-Dienst für andere Nutzer dauerhaft unverfügbar zu machen. CVSS-Basiswert: 7.5 (Hoch). Ausnutzungswahrscheinlichkeit (EPSS): 0.1 %.

Severity: Hoch · CVSS: 7.5 · EPSS: 0.1%

Betroffene Produkte: open-xchange</description>
      <category>Hoch</category><category>Open-Xchange</category>
    </item>
    <item>
      <title>CVE-2026-27858 — ManageSieve – Speichererschöpfung durch manipulierte Vorab-Authentifizierungsnachricht</title>
      <link>https://feed.xonatec.ch/reports/cve-2026-27858</link>
      <guid isPermaLink="true">https://feed.xonatec.ch/reports/cve-2026-27858</guid>
      <pubDate>Wed, 03 Jun 2026 00:00:00 GMT</pubDate>
      <description>In Open-Xchange ManageSieve kann ein Angreifer vor der Authentifizierung eine speziell präparierte Nachricht senden, die dazu führt, dass der Dienst grosse Mengen Arbeitsspeicher belegt. Durch wiederholtes Senden solcher Nachrichten kann der ManageSieve-Login-Dienst dauerhaft unverfügbar gemacht werden. CVSS-Basiswert: 7.5 (Hoch). Ausnutzungswahrscheinlichkeit (EPSS): 0.0 %.

Severity: Hoch · CVSS: 7.5 · EPSS: 0.0%

Betroffene Produkte: open-xchange</description>
      <category>Hoch</category><category>Open-Xchange</category>
    </item>
    <item>
      <title>CVE-2026-24031 — Dovecot – Authentication Bypass bei SQL-basierter Authentifizierung</title>
      <link>https://feed.xonatec.ch/reports/cve-2026-24031</link>
      <guid isPermaLink="true">https://feed.xonatec.ch/reports/cve-2026-24031</guid>
      <pubDate>Wed, 03 Jun 2026 00:00:00 GMT</pubDate>
      <description>Die SQL-basierte Authentifizierung in Dovecot (Open-Xchange) kann umgangen werden, wenn auth_username_chars durch den Administrator geleert wird. Diese Schwachstelle ermöglicht das Umgehen der Authentifizierung für beliebige Benutzer sowie die Aufzählung von Benutzernamen. CVSS-Basiswert: 7.7 (Hoch). Ausnutzungswahrscheinlichkeit (EPSS): 0.0 %.

Severity: Hoch · CVSS: 7.7 · EPSS: 0.0%

Betroffene Produkte: open-xchange</description>
      <category>Hoch</category><category>Open-Xchange</category>
    </item>
    <item>
      <title>CVE-2026-27856 — Doveadm – Timing-Oracle-Angriff auf Anmeldeinformationen</title>
      <link>https://feed.xonatec.ch/reports/cve-2026-27856</link>
      <guid isPermaLink="true">https://feed.xonatec.ch/reports/cve-2026-27856</guid>
      <pubDate>Wed, 03 Jun 2026 00:00:00 GMT</pubDate>
      <description>Die Doveadm-Anmeldeinformationen in Open-Xchange werden mittels direktem Vergleich geprüft, was anfällig für einen Timing-Oracle-Angriff ist. Ein Angreifer kann dies ausnutzen, um die konfigurierten Anmeldeinformationen zu ermitteln. CVSS-Basiswert: 7.4 (Hoch). Ausnutzungswahrscheinlichkeit (EPSS): 0.0 %.

Severity: Hoch · CVSS: 7.4 · EPSS: 0.0%

Betroffene Produkte: open-xchange</description>
      <category>Hoch</category><category>Open-Xchange</category>
    </item>
    <item>
      <title>CVE-2026-27851 — Open-Xchange – SQL/LDAP-Injection durch unsichere Filter-Variablenexpansion</title>
      <link>https://feed.xonatec.ch/reports/cve-2026-27851</link>
      <guid isPermaLink="true">https://feed.xonatec.ch/reports/cve-2026-27851</guid>
      <pubDate>Wed, 03 Jun 2026 00:00:00 GMT</pubDate>
      <description>In Open-Xchange können bei Verwendung des Safe-Filters mit Variablenexpansion alle nachfolgenden Pipelines auf demselben String fälschlicherweise als sicher interpretiert werden, sodass unsichere Daten ohne Escaping verarbeitet werden. Dies kann SQL- und LDAP-Injection-Angriffe ermöglichen. CVSS-Basiswert: 7.4 (Hoch). Ausnutzungswahrscheinlichkeit (EPSS): 0.0 %.

Severity: Hoch · CVSS: 7.4 · EPSS: 0.0%

Betroffene Produkte: open-xchange</description>
      <category>Hoch</category><category>Open-Xchange</category>
    </item>
  </channel>
</rss>
