米国時間5月27日、ウクライナのセキュリティ研究者であるMustLive氏（ハンドル名）が、「IBM Domino（旧称IBM Lotus Domino）」に数年前から存在する、クロスサイトスクリプティング（XSS）の脆弱性に関する情報を公表した。

この脆弱性は、IBM Domino内で不充分な認証しか行われないセキュリティホールと、ブルートフォースアタックを通じて悪用される。攻撃者は脆弱性を悪用してウェブサーバの設定情報を入手し、さらに高度な攻撃を行うか、クライアントサイドのスクリプトをウェブページに挿入することが可能になる。

MustLive氏は2012年からの3年間に、今回公表されたものを含む複数の脆弱性をIBM Domino内に発見してきた。同氏はこれまでに5件のアドバイザリをIBMに提供してきたが、長らく同社からの回答は得られなかったという。その後、ようやくIBMから届いた回答は、報告されたXSSの脆弱性を修正する予定はないという主旨のものだったため、同氏は脆弱性に関する情報の公表を決断したと述べている。

IBM Dominoは、ソーシャルビジネスアプリケーションのホスティングに利用されるエンタープライズプラットフォーム。MustLive氏の報告によると、今回公表された脆弱性はバージョン8.5.3と8.5.4、およびそれ以前のバージョンに影響を与える。また同氏によると、前述したようにIBMは数年前から脆弱性の修正に消極的だったため、バージョン9.0と9.0.1も影響を受ける可能性が高いという。

米ZDNetはこの件についてIBMにコメントを求めているが、本記事の執筆時点で回答は得られていない。