Vigil@nce : Lotus iNotes, 3 vulnérabilités
janvier 2010 par Vigil@nce
Trois vulnérabilités ont été annoncées dans Lotus iNotes (DWA,
Domino Web Access).
– Gravité : 2/4
– Conséquences : accès/droits utilisateur, lecture de données
– Provenance : client internet
– Moyen d’attaque : aucun démonstrateur, aucune attaque
– Compétence de l’attaquant : expert (4/4)
– Confiance : confirmé par l’éditeur (5/5)
– Diffusion de la configuration vulnérable : élevée (3/3)
– Nombre de vulnérabilités dans ce bulletin : 3
– Date création : 08/01/2010
PRODUITS CONCERNÉS
– Lotus Domino
DESCRIPTION DE LA VULNÉRABILITÉ
Trois vulnérabilités ont été annoncées dans Lotus iNotes (DWA,
Domino Web Access).
Le mode Ultra-light est principalement destiné aux mobiles. Dans
ce mode, l’édition de contact est impacté par une vulnérabilité.
[grav:2/4 ; LSHR7TBLY5]
En mode Ultra-light, un attaquant peut injecter des commandes dans
l’url. [grav:2/4 ; LSHR7TBM58]
Lorsque l’utilisateur se connecte avec un navigateur web non
supporté, un lien "Try Lotus iNotes anyway" apparaît. Un attaquant
peut employer une vulnérabilité de cette fonctionnalité.
[grav:2/4 ; LSHR7TBMQU]
Les détails techniques ne sont pas connus.
CARACTÉRISTIQUES
– Références : 7017776, BID-37675, CVE-2009-4594, LSHR7TBLY5,
LSHR7TBM58, LSHR7TBMQU, VIGILANCE-VUL-9330
– Url : http://vigilance.fr/vulnerabilite/Lotus-iNotes-3-vulnerabilites-9330