Se
ha confirmado una vulnerabilidad
en IBM Lotus iNotes 8.5.3.6 y 9.0.1 que
podría permitir a atacantes remotos la
realización de ataques de cross-site scripting.
IBM iNotes (anteriormente
conocido como IBM Lotus iNotes) es una versión basada en web del cliente de
Notes, incluyendo todas sus funciones. iNotes proporciona acceso desde el
navegador al correo electrónico, el calendario y los contactos de Notes, así
como el acceso a las aplicaciones y herramientas empresariales.
El problema (con CVE-2014-0913) reside en el tratamiento de contenido específicamente
manipulado en mensajes email. El problema podría permitir a un atacante remoto dejar
al descubierto los datos personales del usuario o ejecutar comandos como con
los permisos del usuario.
IBM ha publicado las
actualizaciones necesarias en IBM Domino 9.0.1 Fix Pack 1 y 8.5.3 Fix Pack 6
Interim Fix 2:
This issue is being tracked as SPR# BFEY9GXHZE.
The fixes were introduced starting in IBM Domino and IBM iNotes versions 9.0.1
Fix Pack 1 and 8.5.3 Fix Pack 6 Interim Fix 2. See the technotes linked below
for the latest available Fix Packs and Interim Fixes.
Notes/Domino 9.0.1 Fix Packs (technote 4037141)
Interim Fixes para 8.5.3 Fix Pack 6 IBM Notes,
IBM Domino e IBM iNotes (technote 1663874)
Notes/Domino 8.5.3 Fix Packs (technote 4032242)
Más información:
Security Bulletin: IBM iNotes Cross-Site
Scripting Vulnerability (CVE-2014-0913)
Antonio Ropero
Twitter: @aropero
