CVE-2021-27760

HCL Notes 11.0 - 11.0.1 FP4 Sametime Embedded chat clients are vulnerable to group chats loading script on restart

CVSS 4.6 MEDIUMEPSS 0.7%CWE-20

En resumen

HCL Notes Sametime permite que un usuario autenticado ejecute código malicioso en otros clientes de chat enviando mensajes especialmente formateados que contienen JavaScript. Esto podría permitir que atacantes tomen control del cliente de chat de una víctima.

Detalle técnico

Un atacante autenticado puede lograr Ejecución Remota de Código (RCE) en clientes Sametime de HCL Notes 11.0–11.0.1 FP4 enviando un mensaje manipulado con JavaScript incrustado a través del chat; el script se ejecuta cuando el cliente objetivo carga o reinicia el chat grupal, eludiendo validación de entrada (CWE-20).

Resumen generado y traducido por IA a partir de la descripción oficial.

An issue was discovered in the Sametime chat feature in the Notes 11.0 - 11.0.1 FP4 clients. An authenticated Sametime chat user could cause Remote Code Execution on another chat client by sending a specially formatted message through chat containing Javascript code.

CVSS:3.1/AV:N/AC:L/PR:L/UI:R/S:U/C:L/I:N/A:L

Productos afectados

HCL Software · HCL Notes

¿Quieres saber si tu infraestructura está expuesta a esto?

Hablar con TrueHacking →

Referencias

https://support.hcltechsw.com/csm?id=kb_article&sysparm_article=KB0097670