Összefoglaló
A Drupal Mailhandler modul sérülékenységét jelentették, melyet rosszindulatú felhasználók SQL befecskendezéses támadásokra használhatnak ki.
Leírás
A Drupal Mailhandler moduljának sérülékenységét jelentették, melyet rosszindulatú felhasználók SQL befecskendezéses támadásokra használhatnak ki.
Nem meghatározott paramétereknek átadott bevitel nincs megfelelően megtisztítva, mielőtt SQL lekérdezésekhez használnák. Ezt kihasználva tetszőleges kód befecskendezésével módosíthatók az SQL lekérdezések.
A sikeres kiaknázás lehetővé teszi például az adminisztrátori hozzáférést, viszont érvényes felhasználói jogosultságot igényel.
A sérülékenységet az 5.x-1.4 előtti, továbbá a 6.x-1.4 előtti verziókat érinti.
Megoldás
Frissítsen a legújabb verzióraTámadás típusa
Input manipulation (Bemenet módosítás)Hatás
Loss of confidentiality (Bizalmasság elvesztése)Loss of integrity (Sértetlenség elvesztése)
Szükséges hozzáférés
Remote/Network (Távoli/hálózat)Hivatkozások
SECUNIA 31877
Gyártói referencia: drupal.org
CVE-2008-4148 - NVD CVE-2008-4148