Программа:
IBM Lotus Domino 6.x
IBM Lotus Domino 7.x
IBM Lotus Domino 8.x

Уязвимость позволяет удаленному пользователю выполнить произвольный код и
осуществить XSS нападение на целевую систему.

1) Уязвимость существует из-за недостаточной обработки входных данных в
сервлете engine/Web container. Атакующий может выполнить произвольный сценарий в
браузере жертвы в контексте безопасности уязвимого сайта.

2) Уязвимость существует из-за ошибки в проверке входных данных в Lotus
Domino Web Server при обработке HTTP запросов с очень длинным заголовком "Accept-Language".
Атакующий может передать специально сформированные данные, что приведет к
выполнению произвольного кода.

Пример:


http://www.mwrinfosecurity.com/publications/mwri_ibm-lotus-domino-accept-language-stack-overflow_2008-05-20.pdf



Оставить мнение