CH azonosító
CH-8768Angol cím
IBM Lotus iNotes Multiple Script Insertion and Cross-Site Scripting VulnerabilitiesFelfedezés dátuma
2013.03.21.Súlyosság
AlacsonyÖsszefoglaló
Az IBM Lotus iNotes több sérülékenységét jelentették, amiket kihasználva a rosszindulatú, helyi felhasználók script beszúrásos (script insertion), illetve a támadók cross-site scripting (XSS/CSS) támadásokat indíthatnak.
Leírás
- A megosztott mail fájlokkal kapcsolatos bizonyos bemeneti adat nem megfelelően van megtisztítva a felhasználás előtt.Ezt kihasználva tetszőleges HTML és script kódot lehet futtatni a felhasználó böngészőjének munkamenetében az érintett oldal vonatkozásában, amikor a káros tartalom megtekintésre kerül.
- Bizonyos nem részletezett bemeneti adat nem megfelelően van megtisztítva a felhasználónak történő visszaadás előtt. Ezt kihasználva tetszőleges HTML és script kódot lehet futtatni a felhasználó böngészőjének munkamenetében az érintett oldal vonatkozásában.
A sérülékenységek minden 8.5.x verziót érintenek.
Megoldás
Frissítsen a legújabb verzióraTámadás típusa
Input manipulation (Bemenet módosítás)Hatás
Loss of confidentiality (Bizalmasság elvesztése)Loss of integrity (Sértetlenség elvesztése)
Szükséges hozzáférés
Remote/Network (Távoli/hálózat)Hivatkozások
Gyártói referencia: www.ibm.com
CVE-2012-5943 - NVD CVE-2012-5943
CVE-2013-0525 - NVD CVE-2013-0525
SECUNIA 52750