IBM Lotus Expeditor 多個漏洞
最後更新
2012年06月25日 11:26
發佈日期:
2012年06月25日
2399
觀看次數
風險: 高度風險
類型: 用戶端 - 電郵用戶端
在 IBM Lotus Expeditor 發現多個漏洞,惡意的人可利用漏洞進行跨網站指令碼攻擊,洩露敏感資料,繞過某些保安限制,及控制使用者系統。
- 資料傳送到 Eclipse 幫助元件內的不明參數,未經正確地驗證便被用作閱讀檔案。惡意的人可利用漏洞,透過目錄遍歷攻擊,從本機資源洩露任意程式檔案。
- 當處理不明的標頭要求時,在傳取控制機制內的 Web Container 產生錯誤,惡意的人可利用漏洞,偽造一個像由可信的位置 (例如: 本地主機) 發出的標頭。
- 應用程式以不安全的方式載入不明的程式庫,惡意的人可利用漏洞,透過引誘使用者例如,在遠端 WebDAV 或 SMB分享開啟不明檔案,載入任意程式庫。
- 在 Eclipse Help Server存在一些跨網站指令碼漏洞。
- 透過"searchWord"參數傳入 searchView.jsp 和 "workingSet" 參數傳入 workingSetManager.jsp的資料未經正確地過濾到使用者。惡意的人可利用漏洞,在使用者連接到含有Help Server的網站時,在瀏覽器會話內執行任意HTML及腳本碼。
影響
- 跨網站指令碼
- 阻斷服務
- 繞過保安限制
- 資料洩露
受影響之系統或技術
- IBM Lotus Expeditor 6.x
解決方案
在安裝軟體之前,請先瀏覽軟體供應商之網站,以獲得更多詳細資料。
- 更新至版本 6.2 FP5 (Fix Pack 5) + Security Pack 。
漏洞識別碼
資料來源
相關連結
分享至