Érintett rendszerek
IBMLotus Domino Web Access (iNotes)
Érintett verziók
IBM Lotus Domino Web Access (iNotes) 8.x
Összefoglaló
Több sérülékenységet találtak az IBM Lotus Domino Web Access-ben, amiket kihasználva támadók cross-site scripting támadásokat folytathatnak le.
Leírás
Több sérülékenységet találtak az IBM Lotus Domino Web Access-ben, amiket kihasználva támadók cross-site scripting támadásokat folytathatnak le.
- A “PresetFields” paraméter “OrigUrl” tulajdonságán keresztül, a felhasználói NSF levél állomány “($Contacts)/$new/?EditDocument” URL-jének átadott érték nincs megfelelően megtisztítva mielőtt visszakerül a felhasználóhoz.
- Az “OrigUrl” paraméteren keresztül, a felhasználói NSF levél állomány “iNotes/Proxy/?OpenDocument” URL-jének átadott érték nincs megfelelően megtisztítva mielőtt visszakerül a felhasználóhoz.
- Egy URL-lel a “PresetFields” paraméter “m_Status” tulajdonságán keresztül, a felhasználói NSF levél állomány “iNotes/Proxy/?OpenDocument” URL-jének átadott érték nincs megfelelően megtisztítva mielőtt visszakerül a felhasználóhoz, ha a “Form” értéke “m_MailView”.
A sebezhetőségek kihasználhatóak tetszőleges HTML és script kód futtatására a felhasználó böngészőjének munkamenetében az érintett oldallal kapcsolatosan.
Megoldás
Telepítse a javítócsomagokatTámadás típusa
Input manipulation (Bemenet módosítás)Szükséges hozzáférés
Remote/Network (Távoli/hálózat)Hivatkozások
Gyártói referencia: www-01.ibm.com
CVE-2010-0274 - NVD CVE-2010-0274
Gyártói referencia: www-01.ibm.com
SECUNIA 38026
CVE-2010-0275 - NVD CVE-2010-0275
CVE-2010-0276 - NVD CVE-2010-0276