Risque
- Exécution de code arbitraire à distance ;
- atteinte à la confidentialité des données ;
- injection de code indirecte à distance.
Systèmes affectés
Versions antérieures à IBM Lotus Expeditor 6.2 FP5+Security Pack.
Résumé
Cinq vulnérabilités ont été corrigées dans IBM Lotus Expeditor. Elles sont réparties comme suit :
- (CVE-2012-0186) une URL spécialement conçue permet de lire arbitrairement des ressources sensibles ;
- (CVE-2012-0191) en modifiant son en-tête HTTP un attaquant peut contourner les restrictions du serveur à certaines zones ;
- (CVE-2012-0187) le chargement d'une bibliothèque (DLL) arbitraire lors du chargement de certains fichiers ;
- (CVE-2008-7271 et CVE-2008-4647) deux injections de code indirecte à distance (XSS).
Solution
Se référer au bulletin de sécurité de l'éditeur pour l'obtention des correctifs (cf. section Documentation).
Documentation
- Bulletin de sécurité IBM swg21575642 du 21 juin 2012 :
http://www-01.ibm.com/support/docview.wss?uid=swg21575642
- Référence CVE CVE-2012-0191 :
https://www.cve.org/CVERecord?id=CVE-2012-0191
- Référence CVE CVE-2012-0187 :
https://www.cve.org/CVERecord?id=CVE-2012-0187
- Référence CVE CVE-2012-0186 :
https://www.cve.org/CVERecord?id=CVE-2012-0186
- Référence CVE CVE-2008-7271 :
https://www.cve.org/CVERecord?id=CVE-2008-7271
- Référence CVE CVE-2008-4647 :
https://www.cve.org/CVERecord?id=CVE-2008-4647