IBM Lotus Notes Traveler sérülékenységek


2010. december 27. 08:04

CH azonosító

CH-4135

Angol cím

IBM Lotus Notes Traveler Multiple Vulnerabilities

Felfedezés dátuma

2010.12.22.

Súlyosság

Alacsony

Érintett rendszerek

IBM
Lotus Notes
Lotus Notes Traveler

Érintett verziók

IBM Lotus Notes Traveler 8.x

Összefoglaló

Az IBM Lotus Notes Traveler több sérülékenységét is jelentették, melyeket a rosszindulatú felhasználók kihasználhatnak egyes biztonsági korlátozások megkerülésére, a támadók pedig cross-site scripting (XSS/CSS) támadásokat folytathatnak és szolgáltatás megtagadást (DoS – Denial of Service) okozhatnak.

Leírás

  1. Egyes, részletesen nem ismertetett, bemenetek ellenőrzése nem megfelelő mielőtt a felhasználóknak visszaadnák azokat. Ez kihasználható tetszőleges HTML és script kód lefuttatására mialatt a felhasználó az érintett oldalon böngészik.
  2. A Traveler szever nem helyesen alkalmaz bizonyos szabályokat a Traveler szever-től különböző domain-ek mobil felhasználóira vonatkozóan, ez kihasználható az elvárt házirend megkerülésére.
    A sikeres kiaknázás feltétele a több domain-ből álló környezet, valamint a támadónak rendelkeznie kell a Traveler szervertől eltérő domain-hez való tanúsítvánnyal.
  3. A Nokia kliens a felhasználók számára nem nyújt megfelelő korlátozásokat a “Replace Data” funkció használatakor, például az alkalmazásokban a sync le van tiltva.
  4. Egy hibát okoz azoknak a dokumentumoknak a feldolgozása, melyek szándékosan rosszul megformázott adatot tartalmaznak, ez kihasználható a sync folyamat helyes befejeződésének megakadályozására.

Megoldás

Frissítsen a legújabb verzióra

Támadás típusa

Input manipulation (Bemenet módosítás)
Security bypass (Biztonsági szabályok megkerülése)

Hatás

Loss of availability (Elérhetőség elvesztése)
Loss of confidentiality (Bizalmasság elvesztése)
Loss of integrity (Sértetlenség elvesztése)

Szükséges hozzáférés

Remote/Network (Távoli/hálózat)

Hivatkozások

Gyártói referencia: www-10.lotus.com
Gyártói referencia: www-01.ibm.com
Gyártói referencia: www-01.ibm.com
Gyártói referencia: www-01.ibm.com
SECUNIA 39880
CVE-2010-4544 - NVD CVE-2010-4544
CVE-2010-4547 - NVD CVE-2010-4547
CVE-2010-4549 - NVD CVE-2010-4549
CVE-2010-4550 - NVD CVE-2010-4550

Legfrissebb sérülékenységek
CVE-2024-53104 – Linux Kernel sérülékenysége
CVE-2024-20439 – Cisco Smart Licensing Utility Static Credential sebezhetősége
CVE-2025-22228 – Spring Security BCryptPasswordEncoder sebezhetősége
CVE-2025-26630 – Microsoft Access RCE sebezhetősége
CVE-2025-30154 – reviewdog/action-setup GitHub Action Embedded Malicious Code sebezhetősége
CVE-2025-30066 – tj-actions/changed-files GitHub Action Embedded Malicious Code sebezhetősége
CVE-2025-24472 – Fortinet FortiOS and FortiProxy Authentication Bypass sebezhetősége
CVE-2017-12637 – SAP NetWeaver Directory Traversal sebezhetősége
CVE-2024-48248 – NAKIVO Backup and Replication Absolute Path Traversal sebezhetősége
CVE-2025-1316 – Edimax IC-7100 IP Camera OS Command Injection sebezhetősége
Tovább a sérülékenységekhez »