CVE-2021-27760
HCL Notes 11.0 - 11.0.1 FP4 Sametime Embedded chat clients are vulnerable to group chats loading script on restart
Em resumo
O HCL Notes Sametime permite que um usuário autenticado execute código malicioso em outros clientes de bate-papo enviando mensagens formatadas especialmente contendo JavaScript. Isso poderia permitir que atacantes tomem controle do cliente de chat de uma vítima.
Detalhe técnico
Um atacante autenticado pode conseguir Execução de Código Remoto (RCE) nos clientes Sametime do HCL Notes 11.0–11.0.1 FP4 enviando uma mensagem manipulada com JavaScript incorporado pelo chat; o script é executado quando o cliente alvo carrega ou reinicia o chat em grupo, contornando validação de entrada (CWE-20).
Resumo gerado e traduzido por IA a partir da descrição oficial.
An issue was discovered in the Sametime chat feature in the Notes 11.0 - 11.0.1 FP4 clients. An authenticated Sametime chat user could cause Remote Code Execution on another chat client by sending a specially formatted message through chat containing Javascript code.
CVSS:3.1/AV:N/AC:L/PR:L/UI:R/S:U/C:L/I:N/A:L
Produtos afetados
HCL Software · HCL NotesQuer saber se a sua infraestrutura está exposta a isto?
Falar com a TrueHacking →