Vulnerabilidad de Cross-Site Scripting en IBM iNotes. Ya corregida.
Fernando Marmaneu - 30/01/2017
Replicamos la alerta de seguridad de http://www.hispasec.com/ sobre iNotes debido a su importancia. Ya esta corregida.
IBM ha confirmado una vulnerabilidad en IBM iNotes que podría permitir a atacantes remotos la realización de ataques de cross-site scripting.
El problema corregido (con CVE-2016-5881) reside en una validación inadecuada de las entradas del usuario. Un atacante remoto podría explotar la vulnerabilidad mediante URLs específicamente creadas, lo que le permitiría ejecutar scripts en el navegador de la víctima. Se podría utilizar esta vulnerabilidad para robar las cookies de las credenciales de autenticación de la víctima y los datos presentados recientemente.
Se ven afectadas las versiones IBM iNotes 9.0 y 9.0.1 anterior a 9.0.1 Fix Pack 7 e IBM iNotes 8.5, 8.5.1, 8.5.2 y 8.5.3 anterior a 8.5.3 Fix Pack 6 Interim Fix 15
Enlace a la noticia aquí.