Érintett rendszerek
DrupalEmail Verification module
Érintett verziók
Drupal Email Verification module 5.x, 6.x
Összefoglaló
A Drupal Email Verification module (email ellenőrző modul) több sérülékenységét is jelentették, melyeket a támadók kihasználhatnak script beszúrásos támadások lefolytatására, a rosszindulatú felhasználók pedig megkerülhetnek egyes biztonsági előírásokat.
Leírás
A Drupal Email Verification module (email ellenőrző modul) több sérülékenységét is jelentették, melyeket a támadók kihasználhatnak script beszúrásos támadások lefolytatására, a rosszindulatú felhasználók pedig megkerülhetnek egyes biztonsági előírásokat.
- A felhasználó névnek és email címnek átadott bemenet mentés előtti ellenőrzése nem megfelelő. Ez kihasználható tetszőleges HTML vagy script kód beszúrására, amely lefuttatásra kerül, ha a felhasználó böngészés közben megtekinti a megerősítetlen email címek listáját.
-
A megerősítetlen email címek listájához a hozzáférés korlátozása nem megfelelő, csak az “access content” engedély kerül ellenőrzésre. Ez kihasználható a megerősítetlen email címek listájának megszerzésére adminisztrátori jogosultság nélkül is.
Megjegyzés: Ez a sérülékenység csak a Drupal 5.x-et érinti.
A sérülékenységeket az 5.x-2.1 és 6.x-1.2 verziókat megelőzőekben jelentették.
Megoldás
Frissítsen a legújabb verzióraTámadás típusa
Information disclosure (Információ/adat szivárgás)Other (Egyéb)
Hatás
Loss of confidentiality (Bizalmasság elvesztése)Loss of integrity (Sértetlenség elvesztése)
Szükséges hozzáférés
Remote/Network (Távoli/hálózat)Hivatkozások
Gyártói referencia: drupal.org
SECUNIA 35150