IBM Lotus Domino 8.5.x の複数の脆弱性

medium Nessus プラグイン ID 66240

概要

リモートのWebサーバーは複数の脆弱性の影響を受けます。

説明

バナーによると、リモートホストで実行している Lotus Domino のバージョンは 8.5.x です。そのため、以下の脆弱性の影響を受けます:

- Web Helpアプリケーション内の一部のスクリプトは、オープンリダイレクトの攻撃に対して脆弱です。(CVE-2012-2159)

- Web Helpコンポーネントに、折り返し型クロスサイトスクリプティングの脆弱性が含まれています。(CVE-2012-2161)

- 「Web Administrator」クライアントならびに「Src」パラメーターや「x.nsf」スクリプトに関連して、クロスサイトスクリプティング攻撃を可能にするユーザー入力検証エラーが存在します。(CVE-2013-0488、BID 58715)

- 「Web Administrator」クライアントに関連するユーザー入力検証エラーが存在するため、クロスサイトリクエスト偽造攻撃が発生する可能性があります。(CVE-2013-0489)

ソリューション

Lotus Domino 9.0 以降にアップグレードしてください。

参考資料

https://seclists.org/fulldisclosure/2013/Mar/219

http://www-01.ibm.com/support/docview.wss?uid=swg27010592#ver90

http://www-01.ibm.com/support/docview.wss?uid=swg21627597

http://www.nessus.org/u?a70209a1

プラグインの詳細

深刻度: Medium

ID: 66240

ファイル名: domino_9.nasl

バージョン: 1.7

タイプ: remote

ファミリー: Web Servers

公開日: 2013/4/26

更新日: 2022/4/11

設定: 徹底したチェックを有効にする

サポートされているセンサー: Nessus

リスク情報

VPR

リスクファクター: Medium

スコア: 5.9

CVSS v2

リスクファクター: Medium

Base Score: 6

Temporal Score: 4.4

ベクトル: CVSS2#AV:N/AC:M/Au:S/C:P/I:P/A:P

脆弱性情報

CPE: cpe:/a:ibm:lotus_domino

必要な KB アイテム: Domino/Version

エクスプロイトの容易さ: No known exploits are available

パッチ公開日: 2012/5/31

脆弱性公開日: 2012/5/31

参照情報

CVE: CVE-2012-2159, CVE-2012-2161, CVE-2013-0488, CVE-2013-0489

BID: 53884, 58648, 58649, 58715

CWE: 20, 442, 629, 711, 712, 722, 725, 74, 750, 751, 79, 800, 801, 809, 811, 864, 900, 928, 931, 990