Varias vulnerabilidades en Nokia Intellisync Mobile Suite
Se han descubierto varias vulnerabilidades en Nokia Intellisync Mobile Suite que podría ser aprovechado por un atacante para desvelar información, realizar ataques por cross-site scripting, manipular datos o causar denegaciones de servicio.
* Ciertos scripts ASP de autenticación no son debidamente comprobados. Un atacante podría aprovechar esta vulnerabilidad para revelar detalles del usuario o deshabilitar cuentas.
* Ciertas entradas de datos pasadas a de/pda/dev_logon.asp, usrmgr/registerAccount.asp, y de/create_account.asp no son debidamente comprobadas antes de ser devueltas al usuario. Un atacante podría aprovechar esto para ejecutar código HTML o scripts arbitrarios en el navegador del usuario atacado.
* Un error de límite en el servidor Apache Tomcat podría ser aprovechado por un atacante para listar directorios y leer el código fuente de ciertos scripts.
Estas vulnerabilidades han sido confirmadas para las versiones 6.4.31.2, 6.6.0.107 y 6.6.2.2 y afecta parcialmente a Nokia Intellisync Wireless Email Express.
Se recomienda actualizar a GSM2.