Vigil@nce - Lotus Notes : redirection via names.nsf
mars 2010 par Vigil@nce
Ce bulletin a été rédigé par Vigil@nce : http://vigilance.fr/
SYNTHÈSE DE LA VULNÉRABILITÉ
Un attaquant peut inviter la victime à consulter une page HTML,
qui provoque une redirection, ce qui pourrait faciliter un
hameçonnage.
Gravité : 1/4
Date création : 22/03/2010
DESCRIPTION DE LA VULNÉRABILITÉ
La page "/names.nsf" correspond à la base des contacts personnels
de Lotus Notes.
Lors de l’authentification à cette page, le paramètre RedirectTo
du formulaire POST indique l’url de la prochaine page. Un
attaquant pourrait employer ce paramètre, afin de rediriger la
victime sur un site illicite.
Pour mettre en oeuvre cette attaque, l’attaquant doit d’abord
inviter la victime à consulter une page illicite (qui envoie les
données du POST). Cette vulnérabilité est donc peu utile, sauf si
une nouvelle origine d’attaque était publiée.
Un attaquant peut donc inviter la victime à consulter une page
HTML, qui provoque une redirection, ce qui pourrait faciliter un
hameçonnage.
ACCÈS AU BULLETIN VIGIL@NCE COMPLET
http://vigilance.fr/vulnerabilite/Lotus-Notes-redirection-via-names-nsf-9524