Vulnerability Bulletins |
Múltiples vulnerabilidades en IBM Lotus Domino iNotes Client |
|
Vulnerability classification |
|
Property | Value |
Confidence level | Oficial |
Impact | Integridad |
Dificulty | Avanzado |
Required attacker level | Acceso remoto sin cuenta a un servicio exotico |
System information |
|
Property | Value |
Affected manufacturer | Comercial Software |
Affected software |
IBM Lotus Domino 6.x < 6.5.5 IBM Lotus Domino 7.x < 7.0.1 |
Description |
|
Se han descubierto múltiples vulnerabilidades en Lotus Domino iNotes Client. Las vulnerabilidades son descritas a continuación: 1- La vulnerabilidad reside en que los ficheros adjuntos se abren en el contexto del sitio Web si el usuario hace clic en ellos. Un atacante remoto podría ejecutar código JavaScript arbitrario en el contexto de la sesión de usuario. 2- La vulnerabilidad reside en que el "Asunto" de un email no es debidamente validado antes de ser mostrado al usuario. Un atacante remoto podría ejecutar código JavaScript arbitrario en el contexto de la sesión de usuario. 3- La vulnerabilidad reside en que no se validan correctamente las URL del tipo "javascript:" que contengan " ". Un atacante remoto podría ejecutar código JavaScript arbitrario en el contexto de la sesión de usuario. 4- La vulnerabilidad reside en que el nombre de fichero adjunto de un email no es debidamente validado antes de ser mostrado al usuario. Un atacante remoto podría ejecutar código JavaScript arbitrario en el contexto de la sesión de usuario. Es necesario que el control ActiveX Domino Web Access no se encuentre instalado en el navegador del usuario. |
|
Solution |
|
Actualización de software IBM Domino 6.x / Domino 6.5.5 Domino 7.x / Domino 7.0.1 http://www.ibm.com/software/lotus/support/upgradecentral/index.html |
|
Standar resources |
|
Property | Value |
CVE | |
BID | |
Other resources |
|
IBM Lotus Security Advisory (1229919) http://www-1.ibm.com/support/docview.wss?rs=463&uid=swg21229919 Secunia Advisory (SA16340) http://secunia.com/advisories/16340/ |
Version history |
||
Version | Comments | Date |
1.0 | Aviso emitido | 2006-02-13 |