发布日期：2010-05-28
更新日期：2010-06-02

受影响系统：

IBM Lotus Connections 2.5

不受影响系统：

IBM Lotus Connections 2.5.0.2

描述：

---

BUGTRAQ  ID: 40445
CVE(CAN) ID: CVE-2010-2273,CVE-2010-2274,CVE-2010-2275,CVE-2010-2276,CVE-2010-2277,CVE-2010-2278,CVE-2010-2279,CVE-2010-2280

Lotus Connections是一款面向业务的社会网络软件。

Lotus Connections的Community、Bookmarks、mobile Blogs等组件没有正确地过滤用户所提交的create、edit表单及verbiage等参数便返回给了用户或用于重新定向，这可能导致执行任意HTML和脚本代码，或将用户重新定向到不可信任的站点；此外在启用了force SSL选项的情况下，Homepage组件的Bookmarklet弹出窗口和Top Updates链接中存在安全漏洞。

<*来源：IBM （ncsupp@ca.ibm.com）
  
  链接：http://secunia.com/advisories/40007/
*>

建议：

---

厂商补丁：

IBM
---
目前厂商已经发布了升级补丁以修复这个安全问题，请到厂商的主页下载：

http://www-01.ibm.com/support/docview.wss?uid=swg21431472

浏览次数：2028
严重程度：0（网友投票）