CH azonosító
CH-7279Angol cím
Drupal Gallery Formatter Module Unspecified Script Insertion VulnerabilityFelfedezés dátuma
2012.07.25.Súlyosság
AlacsonyÉrintett rendszerek
DrupalGallery formatter module
Érintett verziók
Drupal Gallery formatter Module 7.x
Összefoglaló
A Drupal Gallery formatter bővítményének sérülékenységét jelentették, amelyet rosszindulatú felhasználók kihasználhatnak script beszúrásos (script insertion) támadások indítására.
Leírás
Bizonyos nem részletezett bemeneti adatok felhasználás előtt nincsenek megfelelően ellenőrizve. Ezt kihasználva, tetszőleges HTML és script kódot lehet beszúrni, ami lefuttatásra kerül a felhasználó böngészőjének munkamenetében az érintett oldal vonatkozásában, a káros adat megtekintésekor.
A sérülékenység sikeres kihasználásanak feltétele, hogy a formatter használatakor csomópontok vagy entitások létrehozására legyen jogosultság.
A sérülékenységeket a 7.x-1.x verzióban és a 7.x-1.2 verziót megelőzőekben jelentették.
Megoldás
Frissítsen a legújabb verzióraTámadás típusa
Input manipulation (Bemenet módosítás)Hatás
Loss of confidentiality (Bizalmasság elvesztése)Loss of integrity (Sértetlenség elvesztése)
Szükséges hozzáférés
Remote/Network (Távoli/hálózat)Hivatkozások
Gyártói referencia: drupal.org
SECUNIA 50065