IBM Lotus Expeditor 多個漏洞

在 IBM Lotus Expeditor 發現多個漏洞，惡意的人可利用漏洞進行跨網站指令碼攻擊，洩露敏感資料，繞過某些保安限制，及控制使用者系統。

1. 資料傳送到 Eclipse 幫助元件內的不明參數，未經正確地驗證便被用作閱讀檔案。惡意的人可利用漏洞，透過目錄遍歷攻擊，從本機資源洩露任意程式檔案。
2. 當處理不明的標頭要求時，在傳取控制機制內的 Web Container 產生錯誤，惡意的人可利用漏洞，偽造一個像由可信的位置 (例如: 本地主機) 發出的標頭。
3. 應用程式以不安全的方式載入不明的程式庫，惡意的人可利用漏洞，透過引誘使用者例如，在遠端 WebDAV 或 SMB分享開啟不明檔案，載入任意程式庫。
4. 在 Eclipse Help Server存在一些跨網站指令碼漏洞。
5. 透過"searchWord"參數傳入 searchView.jsp 和 "workingSet" 參數傳入 workingSetManager.jsp的資料未經正確地過濾到使用者。惡意的人可利用漏洞，在使用者連接到含有Help Server的網站時，在瀏覽器會話內執行任意HTML及腳本碼。