Drupal Search Autocomplete modul SQL befecskendezés sérülékenység

2012. január 27. 08:21

CH azonosító

CH-6324

Angol cím

Drupal Search Autocomplete Module SQL Injection Vulnerability

Felfedezés dátuma

2012.01.25.

Súlyosság

Közepes

Érintett rendszerek

Drupal
Search Autocomplete module

Érintett verziók

Drupal Search Autocomplete module 7.x

Összefoglaló

A Drupal Search Autocomplete moduljának olyan sérülékenységét jelentették, melyet rosszindulatú felhasználók kihasználhatnak SQL befecskendezéses támadások indítására.

Leírás

Bizonyos, kereső mezőkkel kapcsolatos bemenetek nincsenek megfelelően ellenőrizve, mielőtt az SQL lekérdezésekben felhasználnák azokat. Ez kihasználható az SQL lekérdezések módosítására tetszőleges kód befecskendezésével.

A sikeres kihasználás feltétele a “use search_autocomplete” jogosultság megléte.

A sérülékenységet a 7.x-2.1 verziónál korábbiakban jelentették.

Legfrissebb sérülékenységek

CVE-2026-26127 – Microsoft .NET Denial of Service sérülékenység

CVE-2026-21262 – Microsoft SQL Server Elevation of Privilege sérülékenység

CVE-2026-1603 – Ivanti Endpoint Manager (EPM) Authentication Bypass sérülékenység

CVE-2025-26399 – SolarWinds Web Help Desk Deserialization of Untrusted Data sérülékenység

CVE-2021-22054 – Omnissa Workspace ONE Server-Side Request Forgery sérülékenység

CVE-2023-41974 – Apple iOS and iPadOS Use-After-Free sérülékenység

CVE-2021-30952 – Apple Multiple Products Integer Overflow or Wraparound sérülékenység

CVE-2023-43000 – Apple Multiple products Use-After-Free sérülékenység

CVE-2021-22681 – Rockwell Multiple Products Insufficient Protected Credentials sérülékenység

CVE-2017-7921 – Hikvision Multiple Products Improper Authentication sérülékenység

Tovább a sérülékenységekhez »

Drupal Search Autocomplete modul SQL befecskendezés sérülékenység