Está usted visitando una publicación en la hemeroteca de CSIRT-CV.
Para acceder al portal y contenido actual, visite https://www.csirtcv.gva.es

04/09/2013

Vulnerabilitats de Cross-Site Scripting en IBM Lotus iNotes

S’han confirmat quatre vulnerabilitats en IBM Lotus inots 8.5.x que podrien permetre a atacants remots la realització d’atacs de Cross-Site Scripting.

IBM iNotes (anteriorment conegut com IBM Lotus iNotes) és una versió basada en el web del client de Notes, i s’hi inclouen totes les seues funcions. iNotes proporciona accés des del navegador al correu electrònic, el calendari i els contactes de Notes, així com l’accés a les aplicacions i ferramentes empresarials.

Els problemes, amb CVE-2013-0590, CVE-2013-0591, CVE-2013-0595 (compartit per dos vulnerabilitats), residixen en el fet que iNotes no filtra adequadament el codi HTML introduït per l’usuari abans de mostrar l’entrada. Açò permet a usuaris remots l’execució arbitrària de codi script en el navegador de l’usuari. Amb això l’atacant podria accedir a les galetes (incloent-hi les d’autenticació) i a la informació recentment enviada, a més de poder realitzar accions en el lloc fent-se passar per la víctima.

Sistemes Afectats:

IBM Lotus iNotes 8.5, 8.5.1, 8.5.2 i 8.5.3

Referències:

CVE-2013-0590, CVE-2013-0591, CVE-2013-0595

Solució:

IBM ha assignat l’identificador SPR# PTHN95XNR3 a estes vulnerabilitats, i ha publicat els pedaços necessaris en IBM Domino 8.5.3 Fix Pack 5

Notes:

LaFlecha.net
IBM Security Bulletin

CSIRT-CV