| Vigil@nce décrit les vulnérabilités informatiques qui affectent vos systèmes, et propose les solutions pour y remédier. |
|
 |
|
|
|
alerte de vulnérabilité 9486
Lotus Domino : Cross Site Scripting de l'aide
Synthèse de la vulnérabilité
| Un attaquant peut inviter la victime à consulter une url illicite, afin de faire exécuter du code JavaScript dans le contexte du serveur Lotus Domino. |
Gravité : 2/4.
Date création : 02/03/2010.
|
Description de la vulnérabilité
L'aide Domino est accessible via l'url :
http://serveur/help/readme.nsf/
L'élément HTML "base" indique le chemin commun à toutes les urls relatives de la page. Par exemple :
<base target="http://serveur/commun">
Lorsqu'une url contient le paramètre "BaseTarget=exemple", Domino génère un code HTML contenant la cible indiquée :
<base target="exemple">
... script ... document._domino_target = "exemple";
Cependant, la page d'aide ne filtre pas la valeur de BaseTarget avant de l'inclure dans le code HTML.
Un attaquant peut donc inviter la victime à consulter une url illicite, afin de faire exécuter du code JavaScript dans le contexte du serveur Lotus Domino.
Ce bulletin pourrait être un doublon de VIGILANCE-VUL-5199, mais cela n'est pas confirmé. |
Bulletin Vigil@nce complet
Caractéristiques
Titre : Lotus Domino : Cross Site Scripting de l'aide.
Mots clés : BaseTarget Cross Domino HTML JavaScript Lotus Scripting Site _domino_target aide.
Références : BID-38481, CYBSEC Advisory#2010-030, CYBSEC Advisory#2010-0301, VIGILANCE-VUL-9486.
|
Sources d'information
Solutions pour cette vulnérabilité
Compléments
Service de veille sur les vulnérabilités informatiques
Le service de veille sur les vulnérabilités informatiques Vigil@nce alerte vos équipes des failles et des menaces qui concernent votre système d'information.
La base de vulnérabilités Vigil@nce contient plusieurs milliers de failles.
Ce bulletin a été rédigé par l'équipe Vigil@nce, qui surveille les vulnérabilités informatiques de systèmes et d'applications.
Vulnérabilités informatiques de systèmes
|
