Avis du CERT-FR

Objet: Vulnérabilité dans Lotus Mobile Connect

Gestion du document

Référence	CERTA-2010-AVI-588
Titre	Vulnérabilité dans Lotus Mobile Connect
Date de la première version	14 décembre 2010
Date de la dernière version	14 décembre 2010
Source(s)	Bulletin de sécurité IBM swg27020327 du 10 décembre 2010
Pièce(s) jointe(s)	Aucune(s)

Tableau 1: Gestion du document

Une gestion de version détaillée se trouve à la fin de ce document.

Risque

Injection de code indirecte à distance.

Systèmes affectés

Lotus Mobile Connect versions antérieures à 6.1.4.

Résumé

Une vulnérabilité dans Lotus Mobile Connect permet à un utilisateur malveillant de faire de l'injection de code indirecte (XSS).

Description

Une entrée passée à HTTP-AS dans le gestionnaire de connexion de Lotus Mobile Connect n'est pas correctement contrôlée. Un utilisateur malveillant peut exploiter cette vulnérabilité pour effectuer de l'injection de code indirecte.

Solution

Se référer au bulletin de sécurité de l'éditeur pour l'obtention des correctifs (cf. section Documentation).

Documentation

Bulletin de sécurité IBM swg27020327 du 14 décembre 2010 :
```
http://www-01.ibm.com/support/docview.wss?uid=swg27020327
```

Gestion détaillée du document

le 14 décembre 2010: version initiale.