Összefoglaló
Egy sérülékenységet találtak a Drupal Wunderbar! moduljában, amit kihasználva, rosszindulatú támadók cscript beszúrásos támadást hajthatnak végre.
Leírás
Egy sérülékenységet találtak a Drupal Wunderbar! moduljában, amit kihasználva, rosszindulatú támadók cscript beszúrásos támadást hajthatnak végre.
Felhasználónév létrehozásakor nincs megfelelően megtisztítva a felhasználótól érkező adat, mielőtt megjelenítésre kerül. Ezt kihasználva, tetszőleges HTML és script kódot lehet beszúrni, ami a felhasználó böngészőjében, az érintett oldal vonatkozásában fog lefutni.
A hiba sikeres kihasználásához szükséges, hogy a Drupal alapbeállításaitól eltérő módon lehessen létrehozni felhasználóneveket.
Megoldás
Frissítsen a legújabb verzióraTámadás típusa
Input manipulation (Bemenet módosítás)Hatás
Loss of confidentiality (Bizalmasság elvesztése)Loss of integrity (Sértetlenség elvesztése)
Szükséges hozzáférés
Remote/Network (Távoli/hálózat)Hivatkozások
Gyártói referencia: drupal.org
SECUNIA 38122