Security Lab

Несколько уязвимостей в IBM Lotus Domino web сервере

Дата публикации:18.03.2004
Всего просмотров:1353
Опасность:
Низкая
Наличие исправления:
Количество уязвимостей:1
CVE ID: Нет данных
Вектор эксплуатации:
Воздействие:
CWE ID: Нет данных
Наличие эксплоита: Нет данных
Уязвимые продукты:
Уязвимые версии: IBM Lotus Domino 6.5.1

Описание: Несколько уязвимостей обнаружено в IBM Lotus Domino web сервере в 'webadmin.nsf'. Удаленный авторизованный администратор может создавать произвольные каталоги на системе и определять существование определенных файлов. Удаленный пользователь может выполнить XSS нападение против администратора системы.

Удаленный авторизованный администратор может сконструировать произвольные каталоги, расположенные вне основного Web каталога. Функция 'webadmin.nsf/dlgFilesFolderNew' не фильтрует символы обхода каталога '../'.

Также эта функция может использоваться для определения существования файла. Удаленный авторизованный администратор может попытаться создать новую директорию с именем потенциального файла. Если файл существует, система отобразит следующую ошибку:

"Unable to create a new folder.Folder already exists"
Также сообщается что функция 'Quick Console' не фильтрует код сценария в параметре 'Domino command'.

URL производителя: http://www.lotus.com/

Решение:Способов устранения обнаруженной уязвимости не существует в настоящее время.

Ссылки: IBM Lotus Domino server 6.5.1 webadmin.nsf vulnerabilities