sábado, 26 de septiembre de 2009

Vulnerabilidad de Cross Site Scripting en IBM Lotus Connections

IBM ha confirmado una vulnerabilidad en IBM Lotus Connections 2.0.1, que podría permitir a un atacante ejecutar ataques de Cross Site Scripting.

IBM Lotus Connections es un software social específicamente diseñado para el entrono empresarial. Permite utilizar los conocimientos de la organización, socios y clientes al establecer de forma dinámica conexiones entre las personas, la experiencia que éstas tienen y las tareas que ejecutan.

El problema está provocado por un error de validación de entradas en el script "profiles/html/simpleSearch.do" al procesar el parámetro "name". Un atacante podría explotar este problema para lograr la ejecución de código script arbitrario en el navegador del usuario en el contexto de seguridad del sitio afectado.

Se recomienda aplicar el Interim Fix LO34540 disponible desde:
http://www-01.ibm.com/support/docview.wss?uid=swg24024414


Antonio Ropero
antonior@hispasec.com


Más información:

LO44244 Profiles: Application is vulnerable to reflective Cross-site scripting
http://www-01.ibm.com/support/docview.wss?uid=swg24024414

No hay comentarios:

Publicar un comentario en la entrada