Drupal Category Tokens modul szkript beszúrási sérülékenység

2010. november 11. 11:19

CH azonosító

CH-3923

Angol cím

Drupal Category Tokens Module Script Insertion Vulnerability

Felfedezés dátuma

2010.11.10.

Súlyosság

Alacsony

Érintett rendszerek

Category Tokens module
Drupal

Érintett verziók

Drupal Category Tokens Module 6.x

Összefoglaló

A Drupal Category Tokens moduljának olyan sérülékenységét jelentették, amelyet rosszindulatú felhasználók kihasználva script beszúrásos (script injection) támadásokat hajthatnak végre.

Leírás

A szótár nevek által átadott bemeneti adat, a szótárak létrehozása vagy szerkesztése során, nincs megfelelően ellenőrizve, mielőtt felhasználásra kerülne.Ezt kihasználva, tetszőleges HTML és script kódot lehet beszúrni a felhasználó böngészője által megjelenített munkafolyamatba, az érintett oldal vonatkozásában a kártékony adatok megtekintése során.

A sérülékenység sikeres kihasználásához szükséges az “administer taxonomy” engedély.

A sérülékenységet a 6.x-1.1 verziónál korábbiakban jelentették.

Legfrissebb sérülékenységek

CVE-2024-53104 – Linux Kernel sérülékenysége

CVE-2025-20236 – Cisco Webex App sebezhetősége

CVE-2017-5754 – Linux Kernel sebezhetősége

CVE-2014-0160 – OpenSSL Information Disclosure sebezhetősége

CVE-2025-23010 – SonicWall NetExtender Improper Link Resolution Before File Access ('Link Following') sebezhetősége

CVE-2025-23009 – SonicWall NetExtender Local Privilege Escalation sebezhetősége

CVE-2025-23008 – SonicWall NetExtender Improper Privilege Management sebezhetősége

CVE-2024-0132 – NVIDIA Container Toolkit sérülékenysége

CVE-2025-3102 – SureTriggers sérülékenysége

CVE-2025-24859 – Apache Roller sebezhetősége

Tovább a sérülékenységekhez »

Drupal Category Tokens modul szkript beszúrási sérülékenység