CVE(CAN) ID: CVE-2008-3860
IBM Lotus Quickr是一款团队协作软件,能够帮助访问人员、信息和完成任务所需的项目材料。
Lotus Quickr在创建本地组或使用Imported Page添加页面时没有正确地验证某些输入参数,WYSIWYG编辑器、html导入功能和富文本编辑器中也没有正确地过滤某些参数输入便返回给了用户,这允许远程攻击者通过跨站脚本攻击执行任意HTML和脚本代码。
IBM Lotus Quickr 8.1
目前厂商已经发布了升级补丁以修复这个安全问题,请到厂商的主页下载:
<a href=“http://www-01.ibm.com/support/docview.wss?uid=swg27013341” target=“_blank”>http://www-01.ibm.com/support/docview.wss?uid=swg27013341</a>