Se han confirmado cuatro vulnerabilidades en IBM Lotus iNotes que podrían permitir a atacantes remotos la realización de ataques de cross-site scripting.
IBM iNotes es una versión basada en web del cliente de Notes, incluyendo todas sus funciones como acceso desde el navegador al correo electrónico, el calendario y los contactos de Notes, así como el acceso a las aplicaciones y herramientas empresariales.
Recursos afectados
- IBM Lotus iNotes 8.5, 8.5.1, 8.5.2 y 8.5.3
CVE’s relacionados
- Los vulnerabilidades se les han asignado los siguientes: CVE-2013-0590, CVE-2013-0591, CVE-2013-0595 (compartido por dos vulnerabilidades).
- IBM ha asignado el identificador SPR# PTHN95XNR3 a estas vulnerabilidades.
Impacto de la vulberabilidad en el sistema
- Las vulnerabilidades surgen cuando IBM iNotes no filtra adecuadamente el código HTML introducido por el usuario antes de mostrar la entrada.
- Lo cual permite a usuarios remotos la ejecución arbitraria de código script en el navegador del usuario.
Recomendación
- IBM ha publicado los parches necesarios en IBM Domino 8.5.3 Fix Pack 5, disponible desde: http://www-01.ibm.com/support/docview.wss?uid=swg24032242
Más información:
- Security Bulletin: IBM iNotes vulnerabilities (CVE-2013-0590, CVE-2013-0591, CVE-2013-0595) http://www-01.ibm.com/support/docview.wss?uid=swg21647740
- Una al día (Vulnerabilidades de Cross-Site Scripting en IBM Lotus iNotes) http://unaaldia.hispasec.com/2013/08/vulnerabilidades-de-cross-site.html
Fuente: Hispasec