CH azonosító
CH-4447Angol cím
IBM Lotus Sametime Multiple Cross-Site Scripting VulnerabilitiesFelfedezés dátuma
2011.02.24.Súlyosság
AlacsonyÖsszefoglaló
Az IBM Lotus Sametime több sérülékenységét jelentették, amiket kihasználva támadók cross-site scripting (XSS) támadást indíthatnak.
Leírás
- Az stconf.nsf/WebMessage “messageString” változójának átadott adatok (amikor az “OpenView” be van állítva) nincsenek megfelelően megtisztítva, mielőtt visszakerülnek a felhasználóhoz. Ezt kihasználva, tetszőleges HTML és script kódot lehet lefuttatni a felhasználó böngészőjében, az érintett oldal vonatkozásában.
- Az stconf.nsf-nek URL-en keresztül átadott adatok nincsenek megfelelően megtisztítva, mielőtt visszakerülnek a felhasználóhoz. Ezt kihasználva, tetszőleges HTML és script kódot lehet lefuttatni a felhasználó böngészőjében, az érintett oldal vonatkozásában.
- Az stcenter.nsf “authReasonCode” változójának átadott adatok (amikor az “OpenDatabase” be van állítva) nincsenek megfelelően megtisztítva, mielőtt visszakerülnek a felhasználóhoz. Ezt kihasználva, tetszőleges HTML és script kódot lehet lefuttatni a felhasználó böngészőjében, az érintett oldal vonatkozásában.
A sérülékenységeket a 8.0.1. verzióban találták, de egyéb kiadások is érintve lehetnek.
Megoldás
Rosszindulatú karakterláncok szűrése proxy segítségévelTámadás típusa
Input manipulation (Bemenet módosítás)Szükséges hozzáférés
Remote/Network (Távoli/hálózat)Hivatkozások
Egyéb referencia: archives.neohapsis.com
Egyéb referencia: archives.neohapsis.com
CVE-2011-1038 - NVD CVE-2011-1038
SECUNIA 43430