Boletines de Vulnerabilidades |
Múltiples vulnerabilidades en IBM Lotus Domino iNotes Client |
|
Clasificación de la vulnerabilidad |
|
Propiedad | Valor |
Nivel de Confianza | Oficial |
Impacto | Integridad |
Dificultad | Avanzado |
Requerimientos del atacante | Acceso remoto sin cuenta a un servicio exotico |
Información sobre el sistema |
|
Propiedad | Valor |
Fabricant afectat | Comercial Software |
Software afectado |
IBM Lotus Domino 6.x < 6.5.5 IBM Lotus Domino 7.x < 7.0.1 |
Descripción |
|
Se han descubierto múltiples vulnerabilidades en Lotus Domino iNotes Client. Las vulnerabilidades son descritas a continuación: 1- La vulnerabilidad reside en que los ficheros adjuntos se abren en el contexto del sitio Web si el usuario hace clic en ellos. Un atacante remoto podría ejecutar código JavaScript arbitrario en el contexto de la sesión de usuario. 2- La vulnerabilidad reside en que el "Asunto" de un email no es debidamente validado antes de ser mostrado al usuario. Un atacante remoto podría ejecutar código JavaScript arbitrario en el contexto de la sesión de usuario. 3- La vulnerabilidad reside en que no se validan correctamente las URL del tipo "javascript:" que contengan " ". Un atacante remoto podría ejecutar código JavaScript arbitrario en el contexto de la sesión de usuario. 4- La vulnerabilidad reside en que el nombre de fichero adjunto de un email no es debidamente validado antes de ser mostrado al usuario. Un atacante remoto podría ejecutar código JavaScript arbitrario en el contexto de la sesión de usuario. Es necesario que el control ActiveX Domino Web Access no se encuentre instalado en el navegador del usuario. |
|
Solución |
|
Actualización de software IBM Domino 6.x / Domino 6.5.5 Domino 7.x / Domino 7.0.1 http://www.ibm.com/software/lotus/support/upgradecentral/index.html |
|
Identificadores estándar |
|
Propiedad | Valor |
CVE | |
BID | |
Recursos adicionales |
|
IBM Lotus Security Advisory (1229919) http://www-1.ibm.com/support/docview.wss?rs=463&uid=swg21229919 Secunia Advisory (SA16340) http://secunia.com/advisories/16340/ |
Histórico de versiones |
||
Versión | Comentario | Data |
1.0 | Aviso emitido | 2006-02-13 |