Vulnerabilidad en El servidor IBM Lotus Quickr 8.0 y posiblemnte QuickPlace 7.x, inyección de secuencias de comandos web o HTML (CVE-2008-1216)
Gravedad CVSS v2.0:
MEDIA
Tipo:
CWE-20
Validación incorrecta de entrada
Fecha de publicación:
09/03/2008
Última modificación:
09/04/2025
Descripción
El servidor IBM Lotus Quickr 8.0 y posiblemnte QuickPlace 7.x, no identifica correctamente URIs que contienen cadenas de ataque de secuencias de comandos en sitios cruzados (XSS), lo que permite a atacantes remotos inyectar secuencias de comandos web o HTML de su elección a través de una acción Calendar OpenDocument a main.nsf con un parámetro Count que contiene un evento JavaScript en un elemento mal formado, como se demostró por un un evento onload en un elemento IFRAME.
Impacto
Puntuación base 2.0
6.80
Gravedad 2.0
MEDIA
Productos y versiones vulnerables
| CPE | Desde | Hasta |
|---|---|---|
| cpe:2.3:a:ibm:lotus_quickr_server:8.0:*:*:*:*:*:*:* |
Para consultar la lista completa de nombres de CPE con productos y versiones, ver esta página
Referencias a soluciones, herramientas e información
- http://secunia.com/advisories/29072
- http://securityreason.com/securityalert/3721
- http://www.securityfocus.com/archive/1/488620/100/100/threaded
- http://www.securityfocus.com/bid/27925
- http://www.vupen.com/english/advisories/2008/0667
- http://secunia.com/advisories/29072
- http://securityreason.com/securityalert/3721
- http://www.securityfocus.com/archive/1/488620/100/100/threaded
- http://www.securityfocus.com/bid/27925
- http://www.vupen.com/english/advisories/2008/0667