Está usted visitando una publicación en la hemeroteca de CSIRT-CV.
Para acceder al portal y contenido actual, visite https://www.csirtcv.gva.es
04/09/2013
IBM iNotes (anteriorment conegut com IBM Lotus iNotes) és una versió basada en el web del client de Notes, i s’hi inclouen totes les seues funcions. iNotes proporciona accés des del navegador al correu electrònic, el calendari i els contactes de Notes, així com l’accés a les aplicacions i ferramentes empresarials.
Els problemes, amb CVE-2013-0590, CVE-2013-0591, CVE-2013-0595 (compartit per dos vulnerabilitats), residixen en el fet que iNotes no filtra adequadament el codi HTML introduït per l’usuari abans de mostrar l’entrada. Açò permet a usuaris remots l’execució arbitrària de codi script en el navegador de l’usuari. Amb això l’atacant podria accedir a les galetes (incloent-hi les d’autenticació) i a la informació recentment enviada, a més de poder realitzar accions en el lloc fent-se passar per la víctima.
IBM Lotus iNotes 8.5, 8.5.1, 8.5.2 i 8.5.3
Referències:CVE-2013-0590, CVE-2013-0591, CVE-2013-0595
Solució:IBM ha assignat l’identificador SPR# PTHN95XNR3 a estes vulnerabilitats, i ha publicat els pedaços necessaris en IBM Domino 8.5.3 Fix Pack 5
Notes:LaFlecha.net
IBM Security Bulletin