Множественные уязвимости в IBM Lotus Connections

Описание:
Обнаруженные уязвимости позволяют удаленному пользователю произвести XSS нападение, выполнить произвольные SQL команды и получить доступ к важным данным.

1. Уязвимость существует из-за недостаточной обработки входных данных в различных параметрах в компонентах Homepage, Blogs, Profiles, Dogear, Activities feed and RTE usage from Forum и Global Search. Удаленный пользователь может с помощью специально сформированного запроса выполнить произвольный код сценария в браузере жертвы в контексте безопасности уязвимого сайта.

2. Уязвимость существует из-за недостаточной обработки входных данных в community title. Удаленный пользователь может с помощью специально сформированного запроса выполнить произвольный код сценария в браузере жертвы в контексте безопасности уязвимого сайта.

3. Уязвимость существует из-за недостаточной обработки входных данных в API. Удаленный пользователь может с помощью специально сформированного запроса выполнить произвольный код сценария в браузере жертвы в контексте безопасности уязвимого сайта.

4. Уязвимость существует из-за недостаточной обработки входных данных в параметре "sortField". Удаленный пользователь может с помощью специально сформированного запроса выполнить произвольные SQL команды в базе данных приложения.

5. Уязвимость существует из-за того, что пароль администратора приложения хранится в файле "trace.log".

6. Две уязвимости существуют из-за неизвестных ошибок. Злоумышленник может получить доступ к паролю администратора приложения.

7. Уязвимость существует из-за неизвестных ошибок на страницах поиска по профилям.

URL производителя: www-01.ibm.com/software/lotus/products/connections/

Решение: Установите последнюю версию 2.0.1 с сайта производителя.