Se trata de ocho vulnerabilidades de cross-site scripting en IBM iNotes, que se incluye como parte de IBM Domino. Como es habitual en estos casos el problema reside en una validación insuficiente de las entradas suministradas por el usuario. Un atacante remoto podría ejecutar código arbitrario HTML o script en el navegador del usuario en el contexto del sitio afectado. Esto podría permitir que el atacante accediera a información sensible basada en el navegador como cookies de autenticación y los datos presentados recientemente.

También se soluciona una vulnerabilidad de denegación de servicio relacionada con un problema en Apache Tomcat. El fallo reside en el componente Apache Commons FileUpload, un atacante podrá provocar que el servidor deje de responder mediante el envió de peticiones de subida de archivos.

Los CVE asociados son: CVE-2016-0282, CVE-2016-3092, CVE-2016-5880, CVE-2016-2939, CVE-2016-5882, CVE-2016-6113, CVE-2016-5884, CVE-2016-2938 y CVE-2016-2939.

Se ven afectadas las versiones

IBM Domino 8.5.2x

IBM Domino 8.5.1x

IBM ha publicado las siguientes actualizaciones:

Antonio Ropero