跳至主內容

IBM Lotus Expeditor 多個漏洞

最後更新 2012年06月25日 11:26 發佈日期: 2012年06月25日 2399 觀看次數

風險: 高度風險

類型: 用戶端 - 電郵用戶端

類型: 電郵用戶端

在 IBM Lotus Expeditor 發現多個漏洞,惡意的人可利用漏洞進行跨網站指令碼攻擊,洩露敏感資料,繞過某些保安限制,及控制使用者系統。

  1. 資料傳送到 Eclipse 幫助元件內的不明參數,未經正確地驗證便被用作閱讀檔案。惡意的人可利用漏洞,透過目錄遍歷攻擊,從本機資源洩露任意程式檔案。
  2. 當處理不明的標頭要求時,在傳取控制機制內的 Web Container 產生錯誤,惡意的人可利用漏洞,偽造一個像由可信的位置 (例如: 本地主機) 發出的標頭。
  3. 應用程式以不安全的方式載入不明的程式庫,惡意的人可利用漏洞,透過引誘使用者例如,在遠端 WebDAV 或 SMB分享開啟不明檔案,載入任意程式庫。
  4. 在 Eclipse Help Server存在一些跨網站指令碼漏洞。
  5. 透過"searchWord"參數傳入 searchView.jsp 和 "workingSet" 參數傳入 workingSetManager.jsp的資料未經正確地過濾到使用者。惡意的人可利用漏洞,在使用者連接到含有Help Server的網站時,在瀏覽器會話內執行任意HTML及腳本碼。

影響

  • 跨網站指令碼
  • 阻斷服務
  • 繞過保安限制
  • 資料洩露

受影響之系統或技術

  • IBM Lotus Expeditor 6.x

解決方案

在安裝軟體之前,請先瀏覽軟體供應商之網站,以獲得更多詳細資料。

  • 更新至版本 6.2 FP5 (Fix Pack 5) + Security Pack 。

漏洞識別碼


資料來源


相關連結