CH azonosító
CH-4447Angol cím
IBM Lotus Sametime Multiple Cross-Site Scripting VulnerabilitiesFelfedezés dátuma
2011.02.24.Súlyosság
AlacsonyÖsszefoglaló
Az IBM Lotus Sametime több sérülékenységét jelentették, amiket kihasználva támadók cross-site scripting (XSS) támadást indíthatnak.
Leírás
- Az stconf.nsf/WebMessage “messageString” változójának átadott adatok (amikor az “OpenView” be van állítva) nincsenek megfelelően megtisztítva, mielőtt visszakerülnek a felhasználóhoz. Ezt kihasználva, tetszőleges HTML és script kódot lehet lefuttatni a felhasználó böngészőjében, az érintett oldal vonatkozásában.
- Az stconf.nsf-nek URL-en keresztül átadott adatok nincsenek megfelelően megtisztítva, mielőtt visszakerülnek a felhasználóhoz. Ezt kihasználva, tetszőleges HTML és script kódot lehet lefuttatni a felhasználó böngészőjében, az érintett oldal vonatkozásában.
- Az stcenter.nsf “authReasonCode” változójának átadott adatok (amikor az “OpenDatabase” be van állítva) nincsenek megfelelően megtisztítva, mielőtt visszakerülnek a felhasználóhoz. Ezt kihasználva, tetszőleges HTML és script kódot lehet lefuttatni a felhasználó böngészőjében, az érintett oldal vonatkozásában.
A sérülékenységeket a 8.0.1. verzióban találták, de egyéb kiadások is érintve lehetnek.
Megoldás
Rosszindulatú karakterláncok szűrése proxy segítségévelTámadás típusa
Input manipulation (Bemenet módosítás)Hatás
Loss of confidentiality (Bizalmasság elvesztése)Loss of integrity (Sértetlenség elvesztése)
Szükséges hozzáférés
Remote/Network (Távoli/hálózat)Hivatkozások
Egyéb referencia: archives.neohapsis.com
Egyéb referencia: archives.neohapsis.com
CVE-2011-1038 - NVD CVE-2011-1038
SECUNIA 43430