Cross-Site Scripting en Lotus Notes y Domino
Se ha anunciado la existencia de una vulnerabilidad en Lotus Notes/Domino R6 en el tratamiento de valores que contengan corchetes “[ ]”, de forma que un usuario remoto podría construir ataques de cross-site scripting.
Se ha anunciado que la función de codificación HTML de Lotus Notes falla al tratar los corchetes (“[” y “]”), de forma que un atacante remoto podrá crear una URL que cuando sea cargada por el usuario víctima provocará que el código malicioso se ejecute en el navegador del usuario. Como resultado, el código podrá acceder a las cookies del usuario (incluyendo las de autenticación), a datos recientemente introducidos en formularios por el usuario o tomar acciones en el sitio actuando como el propio usuario. El código script malicioso podrá ser introducido entre corchetes.