Está usted visitando una publicación en la hemeroteca de CSIRT-CV.
Para acceder al portal y contenido actual, visite https://www.csirtcv.gva.es
04/09/2013
IBM iNotes (anteriormente conocido como IBM Lotus iNotes) es una versión basada en web del cliente de Notes, incluyendo todas sus funciones. iNotes proporciona acceso desde el navegador al correo electrónico, el calendario y los contactos de Notes, así como el acceso a las aplicaciones y herramientas empresariales.
Los problemas, con CVE-2013-0590, CVE-2013-0591, CVE-2013-0595 (compartido por dos vulnerabilidades), residen en que iNotes no filtra adecuadamente el código HTML introducido por el usuario antes de mostrar la entrada. Esto permite a usuarios remotos la ejecución arbitraria de código script en el navegador del usuario. Con ello el atacante podría acceder a las cookies (incluyendo las de autenticación) y a información recientemente enviada, además de poder realizar acciones en el sitio haciéndose pasar por la víctima.
IBM Lotus iNotes 8.5, 8.5.1, 8.5.2 y 8.5.3
Referencias:CVE-2013-0590, CVE-2013-0591, CVE-2013-0595
Solución:IBM ha asignado el identificador SPR# PTHN95XNR3 a estas vulnerabilidades, y ha publicado los parches necesarios en IBM Domino 8.5.3 Fix Pack 5.
Notas:LaFlecha.net
IBM Security Bulletin