SecurityTracker ha informado de la existencia de un problema de seguridad en Lotus Domino, que puede permitir la realización de ataques de tipo Cross-Site Scripting. Por su parte, IBM ha publicado la actualización que resuelve la vulnerabilidad.

El mencionado problema de seguridad tiene su origen en que un determinado componente no filtra adecuadamente el código html introducido por el usuario, antes de mostrar la entrada. Debido a ello, un atacante podrá provocar la ejecución de código script arbitrario en el navegador del equipo afectado. El código se originará desde el sitio que ejecuta Domino y, por lo tanto, se ejecutará con los privilegios de dicho sitio. Por tal motivo, el código tendrá acceso a las cookies del usuario asociadas al sitio (incluidas las de autenticación), acceder a datos recientemente introducidos en formularios, o realizar acciones en el sitio como si fuera el usuario atacado.

IBM ha anunciado -en http://www-1.ibm.com/support/docview.wss?rs=463&uid=swg21217285- que ha corregido el referido problema en Domino 6.5.4 fix pack 1 (FP1) y Domino 7.0.