Open Xchange webmail (&lt;=0.8.1-6)<font style="font-size: 14pt;"> </font>suffers from xss.<br>

<a href="http://mirror.open-xchange.org/ox/EN/community/" target="_blank" onclick="return top.js.OpenExtLink(window,event,this)">http://mirror.open-xchange.org/ox/EN/community/</a><br>

<br>

Vendor response:<br>

For the commercial OX you don't need this as there exists additional security<br>

options where you will not able to use this session. It's a general problem for<br>

all web based mailers and some of them try to filter such scripts, some of them<br>

do not and show a warning instead that the document may contains &quot;dangerous<br>

content&quot;. But you will never be able to filter all possible scriptings.<br>

Displaying HTML content is ALWAYS an unsecure option, so it is recommended to<br>

disable &quot;Inline HTML&quot; at the WebMail options. Anyway, I will check if I can make<br>

some basic filter to get most of such tags.<br>

<br>

Cheers,<br>
<span class="sg">
Thomas<br>
</span>