IBM Lotus Domino cross-site scripting és request forgery sérülékenységek

CH azonosító

CH-8767

Angol cím

IBM Lotus Domino Cross-Site Scripting and Request Forgery Vulnerabilities

Felfedezés dátuma

2013.03.21.

Súlyosság

Alacsony

Érintett rendszerek

IBM
Lotus Domino

Érintett verziók

IBM Lotus Domino 8.x

Összefoglaló

Az IBM Lotus Domino két sérülékenységét jelentették, amiket kihasználva cross-site scripting (XSS/CSS) és cross-site request forgery (XSRF/CSRF) támadásokat lehet végrehajtani.

Leírás

  1. A webadmin.nsf részére átadott bizonyos bemeneti adat nem megfelelően van megtisztítva a felhasználónak történő visszaadás előtt. Ezt kihasználva tetszőleges HTML és script kódot lehet futtatni a felhasználó böngészőjének munkamenetében az érintett oldal vonatkozásában.
  2. A Web Administrator kliens lehetővé teszi a felhasználóknak bizonyos műveletek elvégzését HTTP kérések segítségével anélkül, hogy ellenőrizné azok érvényességét. Ezt kihasználva nem részletezett műveleteket lehet végrehajtani, ha egy bejelentkezett felhasználó meglátogat egy speciálisan összeállított weboldalt.

A sérülékenységek minden 8.5.x verziót érintenek.

Megoldás

Ismeretlen