Se han reportado tres
vulnerabilidades en IBM Lotus iNotes 8.5.x y 9.0 que atacantes remotos podrían
aprovechar para realizar ataques cross-site scripting.
IBM iNotes (anteriormente conocido como IBM Lotus iNotes) es una versión basada en web del cliente de Notes, incluyendo todas sus funciones. iNotes proporciona acceso desde el navegador al correo electrónico, el calendario y los contactos de Notes, así como el acceso a las aplicaciones y herramientas empresariales.
Detalle e Impacto de
las vulnerabilidades
- La primera vulnerabilidad con CVE-2013-4063, se origina en el tratamiento del contenido activo en mensajes email.
- La segunda vulnerabilidad con CVE-2013-4064, en el modo ultra-light de iNotes podría permitir la realización de ataques de cross-site scripting persistente.
- Y una tercera vulnerabilidad , con CVE-2013-4065, también en el modo ultra-light de iNotes podría permitir la realización de ataques de cross-site scripting reflejado.
- En todos los casos los problemas podrían permitir a un atacante remoto dejar al descubierto los datos personales del usuario
Recomendación
IBM ha publicado las actualizaciones necesarias en IBM Domino 9.0.1:
- información sobre como descargar esta versión http://www-01.ibm.com/support/docview.wss?uid=swg24035441
- Y en IBM Domino 8.5.3 Fix Pack 6, disponible desde http://www-01.ibm.com/support/docview.wss?uid=swg24032242
Más información:
IBM iNotes Cross-Site Scripting Vulnerabilities (CVE-2013-4063, CVE-2013-4064, CVE-2013-4065) http://www-01.ibm.com/support/docview.wss?uid=swg21659959
Fuente: Hispasec
