CH azonosító
CH-7696Angol cím
IBM Lotus Notes Traveler Redirection Weakness and Cross-Site Scripting VulnerabilitiesFelfedezés dátuma
2012.10.04.Súlyosság
AlacsonyÖsszefoglaló
Az IBM Lotus Notes Traveler több sérülékenységét jelentették, amiket kihasználva a támadók hamisításos és cross-site scripting (XSS/CSS) támadásokat hajthatnak végre.
Leírás
- A servlet/traveler részére a “redirectURL” segítségével átadott bemeneti adatok nem megfelelően vannak ellenőrizve felhasználás előtt. Ezt kihasználva a felhasználókat tetszőleges domain-re lehet átirányítani, ha az egy megbízható oldalon tárolt script-ben lévő speciális hivatkozásra kattint.
- A /traveler/ILNT.mobileconfig részére a “userId” és “address” paraméterekkel átadott bemeneti adatok nem megfelelően vannak megtisztítva, mielőtt a felhasználónak visszaadásra kerülnének. Ezt kihasználva, tetszőleges HTML és script kódot lehet futtatni a felhasználó böngészőjének munkamenetében az érintett oldal vonatkozásában.
A sérülékenységeket a 8.5.3 Fix Pack 2 előtti kiadásokban jelentették.
Megoldás
Frissítsen a legújabb verzióraTámadás típusa
Input manipulation (Bemenet módosítás)Hatás
Loss of confidentiality (Bizalmasság elvesztése)Loss of integrity (Sértetlenség elvesztése)
Szükséges hozzáférés
Remote/Network (Távoli/hálózat)Hivatkozások
Gyártói referencia: www.ibm.com
Egyéb referencia: archives.neohapsis.com
CVE-2012-4824 - NVD CVE-2012-4824
CVE-2012-4825 - NVD CVE-2012-4825
SECUNIA 50794