Está usted visitando una publicación en la hemeroteca de CSIRT-CV.
Para acceder al portal y contenido actual, visite https://www.csirtcv.gva.es
26/12/2013
Vulnerabilitats de Cross-Site Scripting en IBM Lotus iNotes
S’han confirmat tres vulnerabilitats en IBM Lotus iNotes 8.5.x i 9.0 que podrien permetre a atacants remots la realització d’atacs de cross-site scripting.IBM iNotes (anteriorment conegut com IBM Lotus iNotes) és una versió basada en web del client de Notes que inclou totes les seues funcions. iNotes proporciona accés des del navegador al correu electrònic, al calendari i als contactes de Notes, així com l’accés a les aplicacions i ferramentes empresarials.
El primer dels problemes (amb CVE-2013-4063) residix en el tractament del contingut actiu en missatges d'adreça electrònica. Una segona fallada (amb CVE-2013-4064) en el mode ultralight d’iNotes podria permetre la realització d’atacs de cross-site scripting persistent. Per últim, amb CVE-2013-4065, també en el mode ultralight d’iNotes, podria permetre la realització d’atacs de cross-site scripting reflectit. En tots els casos els problemes podrien permetre a un atacant remot deixar al descobert les dades personals de l’usuari.
Sistemes Afectats:IBM Lotus iNotes 8.5.x y 9.0
Referències:CVE-2013-4063, CVE-2013-4064, CVE-2013-4065
Solució:IBM ha publicat les actualitzacions necessàries en IBM Domino 9.0.1
Notes:Informació sobre com descarregar esta versió:
http://www-01.ibm.com/support/docview.wss?uid=swg24035441
I en IBM Domino 8.5.3 Fix Pack 6, disponible des de:
http://www-01.ibm.com/support/docview.wss?uid=swg24032242