Ce bulletin a été rédigé par Vigil@nce : http://vigilance.fr/

SYNTHÈSE DE LA VULNÉRABILITÉ

Un attaquant peut inviter la victime à consulter une page HTML,
qui provoque une redirection, ce qui pourrait faciliter un
hameçonnage.

Gravité : 1/4

Date création : 22/03/2010

DESCRIPTION DE LA VULNÉRABILITÉ

La page "/names.nsf" correspond à la base des contacts personnels
de Lotus Notes.

Lors de l’authentification à cette page, le paramètre RedirectTo
du formulaire POST indique l’url de la prochaine page. Un
attaquant pourrait employer ce paramètre, afin de rediriger la
victime sur un site illicite.

Pour mettre en oeuvre cette attaque, l’attaquant doit d’abord
inviter la victime à consulter une page illicite (qui envoie les
données du POST). Cette vulnérabilité est donc peu utile, sauf si
une nouvelle origine d’attaque était publiée.

Un attaquant peut donc inviter la victime à consulter une page
HTML, qui provoque une redirection, ce qui pourrait faciliter un
hameçonnage.

ACCÈS AU BULLETIN VIGIL@NCE COMPLET

http://vigilance.fr/vulnerabilite/Lotus-Notes-redirection-via-names-nsf-9524