IBM Lotus客户端脚本注入漏洞

时间:2006-02-25 来源: 作者: 点击:
描述: IBM Lotus Domino/Notes是一套得到广泛应用的群件系统,iNotes可提供基于WEB的消息系统。 Lotus Domino iNotes客户端中存在多个漏洞,可能允许恶意用户执行脚本注入攻击: 1) 如果用户点击了附件文件(如html文件)的话,就会在站点环境中打开该文件。这可能导
    描述:

  IBM Lotus Domino/Notes是一套得到广泛应用的群件系统,iNotes可提供基于WEB的消息系统。

  Lotus Domino iNotes客户端中存在多个漏洞,可能允许恶意用户执行脚本注入攻击:

  1) 如果用户点击了附件文件(如html文件)的话,就会在站点环境中打开该文件。这可能导致以用户会话的权限执行任意JavaScript代码。

  2) 在以浏览器标题显示邮件标题之前没有进行正确的过滤,导致用户浏览邮件时以用户会话的权限执行任意JavaScript 。

  3) 可以通过在URL中注入“ ”导致绕过“javascript:” URL相关的安全检查,以用户会话的权限执行任意JavaScript。

  4) 在向用户显示附件文件名前没有进行正确的过滤,导致导致用户浏览邮件时以用户会话的权限执行任意JavaScript。

  只有浏览器中没有安装Domino Web Access ActiveX控件的条件下才允许上述攻击。

  受影响系统:

  IBM Lotus Domino Web Access 7.x

  IBM Lotus Domino Web Access (iNotes) 6.x

  IBM Lotus Domino 7.x

  IBM Lotus Domino 6.x

  不受影响系统:

  IBM Lotus Domino 7.0.1

  IBM Lotus Domino 6.5.5

  厂商补丁:

  IBM

  ---

  目前厂商已经发布了升级补丁以修复这个安全问题,请到厂商的主页下载:

  http://www-1.ibm.com/support/docview.wss?rs=475&uid=swg21229919
------分隔线----------------------------
顶一下
(0)
0%
踩一下
(0)
0%
------分隔线----------------------------
最新评论 查看所有评论
发表评论 查看所有评论
请自觉遵守互联网相关的政策法规,严禁发布色情、暴力、反动的言论。
评价:
表情:
用户名: 密码: 验证码:
推荐内容