Érintett rendszerek
Captcha moduleDrupal
Érintett verziók
Drupal Captcha module 5.x 1.0 - 3.2, 6.x 1.0 - 2.1
Összefoglaló
A Drupal CAPTCHA moduljának olyan sérülékenységét jelentették, amelyet kihasználva a rosszindulatú felhasználók script beszúrásos támadásokat hajthatnak végre.
Leírás
A Drupal CAPTCHA moduljának olyan sérülékenységét jelentették, amelyet kihasználva a rosszindulatú felhasználók script beszúrásos támadásokat hajthatnak végre.
Bizonyos a CAPTCHA által átadott bemenet nincs megfelelően ellenőrizve, mielőtt megjelenítésre kerülne. Ezt kihasználva, tetszőleges HTML és script kódot lehet lefuttatni a felhasználó böngészőjében, az érintett oldal vonatkozásában.
A sérülékenység kihasználásához szükséges az “administer CAPTCHA settings” jogosultság.
Megoldás
Frissítsen a legújabb verzióraTámadás típusa
Input manipulation (Bemenet módosítás)Hatás
Loss of confidentiality (Bizalmasság elvesztése)Loss of integrity (Sértetlenség elvesztése)
Szükséges hozzáférés
Remote/Network (Távoli/hálózat)Hivatkozások
Gyártói referencia: drupal.org
SECUNIA 39892