CH azonosító
CH-8767Angol cím
IBM Lotus Domino Cross-Site Scripting and Request Forgery VulnerabilitiesFelfedezés dátuma
2013.03.21.Súlyosság
AlacsonyÖsszefoglaló
Az IBM Lotus Domino két sérülékenységét jelentették, amiket kihasználva cross-site scripting (XSS/CSS) és cross-site request forgery (XSRF/CSRF) támadásokat lehet végrehajtani.
Leírás
- A webadmin.nsf részére átadott bizonyos bemeneti adat nem megfelelően van megtisztítva a felhasználónak történő visszaadás előtt. Ezt kihasználva tetszőleges HTML és script kódot lehet futtatni a felhasználó böngészőjének munkamenetében az érintett oldal vonatkozásában.
- A Web Administrator kliens lehetővé teszi a felhasználóknak bizonyos műveletek elvégzését HTTP kérések segítségével anélkül, hogy ellenőrizné azok érvényességét. Ezt kihasználva nem részletezett műveleteket lehet végrehajtani, ha egy bejelentkezett felhasználó meglátogat egy speciálisan összeállított weboldalt.
A sérülékenységek minden 8.5.x verziót érintenek.
Megoldás
IsmeretlenTámadás típusa
Input manipulation (Bemenet módosítás)Hatás
Loss of confidentiality (Bizalmasság elvesztése)Loss of integrity (Sértetlenség elvesztése)
Szükséges hozzáférés
Remote/Network (Távoli/hálózat)Hivatkozások
Gyártói referencia: www.ibm.com
CVE-2013-0488 - NVD CVE-2013-0488
CVE-2013-0489 - NVD CVE-2013-0489
SECUNIA 52749