Дата публикации: | 14.02.2006 |
Всего просмотров: | 1877 |
Опасность: | Средняя |
Наличие исправления: | Да |
Количество уязвимостей: | 1 |
CVE ID: |
CVE-2005-2712 CVE-2006-0662 CVE-2006-0663 |
Вектор эксплуатации: | Удаленная |
Воздействие: | Отказ в обслуживании |
CWE ID: | Нет данных |
Наличие эксплоита: | Нет данных |
Уязвимые продукты: |
IBM Lotus Domino 6.x
IBM Lotus Domino Web Access (iNotes) 6.x IBM Lotus Domino 7.x IBM Lotus Domino Web Access 7.x |
Уязвимые версии: IBM Lotus Domino Web Access 7.x IBM Lotus Domino Web Access (iNotes) 6.x IBM Lotus Domino 6.x IBM Lotus Domino 7.x Описание: 1. Вложенные файлы (например, .html файлы) открываются в контексте безопасности сайта. Удаленный пользователь может выполнить произвольный код сценария в контексте сессии пользователя. Уязвимость существует в версии 6.5.4. 2. Недостаточным образом фильтруется тема письма перед отображением в браузере жертвы в качестве титла страницы. Удаленный пользователь может выполнить произвольный код сценария в браузере жертвы в контексте сессии пользователя, когда пользователь просматривает полученное письмо. Уязвимость существует в версиях 6.5.4 и 7.0. Пример: </TITLE><SCRIPT>alert("Vulnerable!");</SCRIPT> 3. Ошибка при обработке URL, содержащих "javascript:" и символы " " может позволить злоумышленнику выполнить произвольный код сценария в браузере жертвы в контексте текущей сессии пользователя. Уязвимость существует в версиях 6.5.4 и 7.0. Пример: <a href="java script:alert('Vulnerable!');">Link</a> 4. Уязвимость существует из-за недостаточной обработки имени вложенного файла. Удаленный пользователь может выполнить произвольный код сценария в браузере жертвы во время просмотра письма. Удачная эксплуатация уязвимости возможна, если ActiveX компонент Domino Web Access не установлен на системе. Уязвимость существует в версиях 6.5.4 и 7.0. URL производителя: www.ibm.com Решение: Установите последнюю версию (6.5.5 или 7.0.1) с сайта производителя. Источник: |
|
Ссылки: | Secunia Research: IBM Lotus Domino iNotes Client Script InsertionVulnerabilities |