Vulnerabilidad Cross-Site Scripting en IBM Lotus Notes

Lotus Notes es una plataforma que combina mensajería a nivel empresarial, calendarios y utilidades de organización, además de todo tipo de facilidades para el uso de herramientas de colaboración.

IBM ha informado de que el procesador de URLs de Notes no filtra de forma adecuada las entradas dadas por los usuarios cuando un usuario pulsa sobre una URL de dicho programa. Un usuario remoto puede crear una URL especialmente construida que, una vez cargada por el usuario, provocará la ejecución de código script arbitrario en el navegador de la víctima. El código tendrá dicho sitio como origen, y se ejecutará en el contexto de seguridad que tenga asignado, por lo que podrá acceder a las cookies del usuario (incluyendo las de autenticación) que tenga asociadas con dicho sitio, acceder a información enviada recientemente mediante formularios o realizar acciones en dicho lugar en nombre de la víctima.

El informe de la vulnerabilidad afirma que si el cliente de Notes ya está corriendo en la estación del usuario, este problema no es explotable.

Las versiones vulnerables son las 6.x anteriores a la 6.0.4 y las 6.5.x anteriores a 6.5.2. IBM ha publicado versiones que no contienen este error en dos ramas: 6.0.4 y 6.5.2.