VULHUB ™

IBM Lotus Domino/Notes是一套得到广泛应用的群件系统，iNotes可提供基于WEB的消息系统。 Lotus Domino iNotes客户端中存在多个漏洞，可能允许恶意用户执行脚本注入攻击： 1) 如果用户点击了附件文件(如html文件)的话，就会在站点环境中打开该文件。这可能导致以用户会话的权限执行任意JavaScript代码。 2) 在以浏览器标题显示邮件标题之前没有进行正确的过滤，导致用户浏览邮件时以用户会话的权限执行任意JavaScript 。 3) 可以通过在URL中注入\"＆＃13;\"导致绕过\"javascript：\" URL相关的安全检查，以用户会话的权限执行任意JavaScript。 4) 在向用户显示附件文件名前没有进行正确的过滤，导致导致用户浏览邮件时以用户会话的权限执行任意JavaScript。 只有浏览器中没有安装Domino Web Access ActiveX控件的条件下才允许上述攻击。

IBM Lotus Domino/Notes是一套得到广泛应用的群件系统，iNotes可提供基于WEB的消息系统。 Lotus Domino iNotes客户端中存在多个漏洞，可能允许恶意用户执行脚本注入攻击： 1) 如果用户点击了附件文件(如html文件)的话，就会在站点环境中打开该文件。这可能导致以用户会话的权限执行任意JavaScript代码。 2) 在以浏览器标题显示邮件标题之前没有进行正确的过滤，导致用户浏览邮件时以用户会话的权限执行任意JavaScript 。 3) 可以通过在URL中注入\"＆＃13;\"导致绕过\"javascript：\" URL相关的安全检查，以用户会话的权限执行任意JavaScript。 4) 在向用户显示附件文件名前没有进行正确的过滤，导致导致用户浏览邮件时以用户会话的权限执行任意JavaScript。 只有浏览器中没有安装Domino Web Access ActiveX控件的条件下才允许上述攻击。