CH azonosító
CH-4559Angol cím
Drupal Tagadelic Module Taxonomy Script Insertion WeaknessFelfedezés dátuma
2011.03.16.Súlyosság
AlacsonyÖsszefoglaló
A Drupal Tagadelic modul egy sérülékenységét fedezték fel, amelyet kihasználva a felhasználók script befecskendezéses (script injection) támadást indíthatnak.
Leírás
A taxonomy szótárakhoz és nevekhez kapcsolódó bemeneti adatok nem megfelelően kerülnek megtisztításra, mielőtt lista oldalakon és blokkokon megjelenítésre kerülnének. Ezt kihasználva, tetszőleges HTML és script kódot lehet lefuttatni a felhasználó böngészőjének munkamenetében, az érintett oldal vonatkozásában.
A sérülékenység sikeres kihasználásához “Taxonomy-Administrators” jogosultság szükséges.
A sérülékenységet a 6.x-1.3 előtti kiadásokban jelentették.
Megoldás
Frissítsen a legújabb verzióraTámadás típusa
Input manipulation (Bemenet módosítás)Hatás
Loss of availability (Elérhetőség elvesztése)Loss of confidentiality (Bizalmasság elvesztése)
Loss of integrity (Sértetlenség elvesztése)
Szükséges hozzáférés
Remote/Network (Távoli/hálózat)Hivatkozások
Gyártói referencia: drupal.org
SECUNIA 43779