Vigil@nce : Lotus Notes, Cross Site Scripting du Widget RSS
septembre 2009 par
Un attaquant peut exécuter du code JavaScript sur la machine de la
victime utilisant le Widget RSS de Lotus Notes.
– Gravité : 2/4
– Conséquences : accès/droits client
– Provenance : document
– Moyen d’attaque : aucun démonstrateur, aucune attaque
– Compétence de l’attaquant : expert (4/4)
– Confiance : source unique (2/5)
– Diffusion de la configuration vulnérable : élevée (3/3)
– Date création : 08/09/2009
PRODUITS CONCERNÉS
– Lotus Notes
DESCRIPTION DE LA VULNÉRABILITÉ
Le produit IBM Lotus Notes contient un Widget pour afficher les
flux RSS.
Cependant, ce Widget sauve les messages sur la machine locale,
puis ouvre Internet Explorer pour les afficher. Les scripts
contenus dans ces documents sont donc exécutés dans la zone
locale, au lieu de la zone internet, qui est plus restrictive.
Un attaquant peut donc ajouter un script illicite dans les
messages publiés sur un flux RSS, afin de faire exécuter du code
privilégié sur la machine des utilisateurs de ce Widget.
CARACTÉRISTIQUES
– Références : BID-36305, CVE-2009-3114, scip_Advisory 4021,
VIGILANCE-VUL-9007
– Url : http://vigilance.fr/vulnerabilite/Lotus-Notes-Cross-Site-Scripting-du-Widget-RSS-9007