Se
han confirmado dos vulnerabilidades en IBM Lotus iNotes 8.5, 8.5.1, 8.5.2 y
8.5.3 que podrían permitir a atacantes remotos la realización de ataques de cross-site
scripting.
Los problemas,
con CVE-2012-5943 y CVE-2013-0525, residen en que iNotes no filtra
adecuadamente el código HTML introducido por el usuario antes de mostrar la
entrada. Esto permite a usuarios remotos la ejecución arbitraria de código
script en el navegador del usuario. Con ello el atacante podría acceder a las
cookies (incluyendo las de autenticación) y a información recientemente
enviada, además de poder realizar acciones en el sitio haciéndose pasar por la
víctima.
IBM ha asignado los
identificadores SPR# JDOE8ZZS9 y SPR# DKEN8PDNTX a estas vulnerabilidades. Igualmente
ha publicado la versión 9.0 que corrige estos problemas, además se incluirán
los parches necesarios en los futuros 8.5.x Fix Packs.
Más información:
Security Bulletin: Security vulnerabilities
addressed in IBM iNotes 9.0 (CVE-2013-0525, CVE-2012-5943)
Antonio Ropero
Twitter: @aropero