CH azonosító
CH-6863Angol cím
Drupal Smart Breadcrumb Module "filter_titles()" Script Insertion VulnerabilityFelfedezés dátuma
2012.05.16.Súlyosság
AlacsonyÉrintett rendszerek
DrupalSmart Breadcrumb Module
Érintett verziók
Drupal Smart Breadcrumb Module 6.x
Összefoglaló
A Drupal Smart Breadcrumb modul olyan sérülékenysége vált ismertté, amelyet kihasználva a rosszindulatú támadók script beszúrásos (script insertion) támadásokat tudnak végrehajtani.
Leírás
Egyes címeknek átadott bemeneti adat node létrehozásakor vagy módosításakor nincsen megfelelően megtisztítva a “filter_titles()” függvényben használat előtt. Ez kihasználható tetszőleges HTML és script kód beszúrására, ami a felhasználó böngészőjének munkamenetében fut le egy érintett oldallal kapcsolatosan a kártékony adatok megjelenítésekor.
Sikeres kihasználás node létrehozási és módosítási jog megléte esetén lehetséges.
A sérülékenység a 6.x-1.3 előtti 6.x-1.x verziókat érint.
Megoldás
Frissítsen a legújabb verzióraTámadás típusa
Input manipulation (Bemenet módosítás)Hatás
Loss of confidentiality (Bizalmasság elvesztése)Loss of integrity (Sértetlenség elvesztése)
Szükséges hozzáférés
Remote/Network (Távoli/hálózat)Hivatkozások
Gyártói referencia: drupal.org
SECUNIA 49163