Confirmadas dos vulnerabilidades en IBM Lotus iNotes 8.5, 8.5.1,
8.5.2 y 8.5.3 que podrían permitir a atacantes remotos la realización de ataques de cross-site scripting.

Los problemas, con CVE-2012-5943 y CVE-2013-0525, residen en que iNotes no filtra adecuadamente el código HTML introducido por el usuario antes de mostrar la entrada. Esto permite a usuarios remotos la ejecución arbitraria de código script en el navegador del usuario.

Con ello el atacante podría acceder a las cookies (incluyendo las de autenticación) y a información recientemente enviada, además de poder realizar acciones en el sitio haciéndose pasar por la víctima. 

 
IBM ha asignado los identificadores SPR# JDOE8ZZS9 y SPR# DKEN8PDNTX a estas vulnerabilidades. Igualmente ha publicado la versión 9.0 que corrige estos problemas, además se incluirán los parches necesarios en los futuros 8.5.x Fix Packs. 
 
Opina sobre esta noticia: 
http://unaaldia.hispasec.com/2013/04/vulnerabilidades-de-cross-site.html#comments
 
Más información:
 
Security Bulletin: Security vulnerabilities addressed in IBM iNotes 9.0 (CVE-2013-0525, CVE-2012-5943)
http://www-01.ibm.com/support/docview.wss?uid=swg21628658

Fuente:
Antonio Ropero
antonior@hispasec.com
Twitter: @aropero
Laboratorio Hispasec
www.hispasec.com

Imagen:
Fotos Digitales Gratis
www.fotosdigitalesgratis.com

Logotipos/Imágenes/Texto MR Respectiva/s Compañía/s mencionada/s en la noticia.
Portal de Seguridad Informática, Tecnología e Internet
Descargas Antivirus/Antimalware
www.antivirusgratis.com.ar