CH azonosító
CH-5280Angol cím
Drupal Taxonomy Filter Module Vocabulary Names Script Insertion VulnerabilityFelfedezés dátuma
2011.07.28.Súlyosság
AlacsonyÉrintett rendszerek
DrupalTaxonomy Filter module
Érintett verziók
Drupal Taxonomy Filter Module 6.x 1.0 - 1.3, 7.x 1x-dev
Összefoglaló
A Drupal Taxonomy Filter modul olyan sérülékenysége vált ismertté, amelyet a rosszindulatú felhasználók kihasználhatnak script beszúrásos támadások kezdeményezésére.
Leírás
A szótárnevekkel átadott bizonyos bemenet nincs megfelelően ellenőrizve, mielőtt visszakerül a felhasználóhoz. Ez kihasználható tetszőleges HTML és script kód futtatására a felhasználó böngésző munkamenetében, az érintett oldallal kapcsolatosan, a rosszindulatú adat megtekintésekor.
A sérülékenység “administer taxonomy” jogosultsággal használható ki.
A sérülékenységet a 6.x-1.3. és korábbi verziókban ismerték fel.
Megoldás
Frissítsen a legújabb verzióraTámadás típusa
Input manipulation (Bemenet módosítás)Hatás
Loss of confidentiality (Bizalmasság elvesztése)Loss of integrity (Sértetlenség elvesztése)
Szükséges hozzáférés
Remote/Network (Távoli/hálózat)Hivatkozások
Gyártói referencia: drupal.org
SECUNIA 45339