Está usted visitando una publicación en la hemeroteca de CSIRT-CV.
Para acceder al portal y contenido actual, visite https://www.csirtcv.gva.es

04/09/2013

Vulnerabilidades de Cross-Site Scripting en IBM Lotus iNotes

Se han confirmado cuatro vulnerabilidades en IBM Lotus iNotes 8.5.x que podrían permitir a atacantes remotos la realización de ataques de cross-site scripting.

IBM iNotes (anteriormente conocido como IBM Lotus iNotes) es una versión basada en web del cliente de Notes, incluyendo todas sus funciones. iNotes proporciona acceso desde el navegador al correo electrónico, el calendario y los contactos de Notes, así como el acceso a las aplicaciones y herramientas empresariales.

Los problemas, con CVE-2013-0590, CVE-2013-0591, CVE-2013-0595 (compartido por dos vulnerabilidades), residen en que iNotes no filtra adecuadamente el código HTML introducido por el usuario antes de mostrar la entrada. Esto permite a usuarios remotos la ejecución arbitraria de código script en el navegador del usuario. Con ello el atacante podría acceder a las cookies (incluyendo las de autenticación) y a información recientemente enviada, además de poder realizar acciones en el sitio haciéndose pasar por la víctima.

Sistemas Afectados:

 IBM Lotus iNotes 8.5, 8.5.1, 8.5.2 y 8.5.3

Referencias:

CVE-2013-0590, CVE-2013-0591, CVE-2013-0595

Solución:

IBM ha asignado el identificador SPR# PTHN95XNR3 a estas vulnerabilidades, y ha publicado los parches necesarios en IBM Domino 8.5.3 Fix Pack 5.

Notas:

LaFlecha.net
IBM Security Bulletin

CSIRT-CV