发布日期：2010-12-23
更新日期：2010-12-24

受影响系统：

IBM Lotus Notes Traveler 8.5.1.2

不受影响系统：

IBM Lotus Notes Traveler 8.5.1.3

描述：

---

BUGTRAQ  ID: 45564
CVE ID: CVE-2010-4544,CVE-2010-4547,CVE-2010-4549,CVE-2010-4550

IBM Lotus Notes Traveler是为使用受支持移动设备的Lotus Notes用户提供的访问电子邮件和PIM应用程序的产品。

IBM Lotus Notes Traveler在实现上存在多个漏洞，远程攻击者可利用这些漏洞造绕过某些安全限制，执行跨站脚本攻击，造成拒绝服务攻击。

这些漏洞源于：

1）某些未指定的输入在返回给用户之前未正确过滤，导致在受影响站点的浏览器会话中执行任意HTML和脚本代码。
2）Traveler服务器未正确对不同于Traveler服务器的另一个域中的移动用户应用某些策略，导致绕过目标策略。
3）Nokia客户端未正确限制用户使用“Replace Data”功能执行某些操作，如同步受限制的应用程序。
4）处理包含畸形项目的文档时存在错误，导致非正常结束同步过程。

<**>

建议：

---

厂商补丁：

IBM
---
目前厂商已经发布了升级补丁以修复这个安全问题，请到厂商的主页下载：

http://www.ers.ibm.com/

浏览次数：2424
严重程度：0（网友投票）