IBM ha confirmado una vulnerabilidad en IBM iNotes 8.5.x
que podría permitir a atacantes remotos la realización de ataques de cross-site
scripting.
IBM iNotes (anteriormente conocido como IBM Lotus iNotes) es una versión completa basada en web del cliente de Notes, incluyendo todas sus funciones. iNotes proporciona acceso desde el navegador al correo electrónico, el calendario y los contactos de Notes, así como el acceso a las aplicaciones y herramientas empresariales.
El problema corregido (con CVE-2016-0282) reside en una
validación inadecuada de las entradas del usuario. Un atacante remoto podría
explotar la vulnerabilidad mediante URLs específicamente creadas, lo que le
permitiría ejecutar scripts en el navegador de la víctima. Se podría utilizar
esta vulnerabilidad para robar las cookies de las credenciales de autenticación
de la víctima y los datos presentados recientemente.
IBM ha publicado las actualizaciones necesarias en IBM iNotes 8.5.3 Fix Pack 6 Interim Fix 2. Disponible desde, http://www.ibm.com/support/docview.wss?uid=swg21663874
Más información:
- Security Bulletin: IBM iNotes Cross-site Scripting Vulnerability (CVE-2016-0282)
- http://www-01.ibm.com/support/docview.wss?uid=swg21991722
