Drupal Custom Publishing Options bővítmény sérülékenység

2012. augusztus 17. 07:06

CH azonosító

CH-7404

Angol cím

Drupal Custom Publishing Options Module Status Label Script Insertion Vulnerability

Felfedezés dátuma

2012.08.15.

Súlyosság

Alacsony

Érintett rendszerek

Custom Publishing Options Module
Drupal

Érintett verziók

Drupal Custom Publishing Options Module 6.x

Összefoglaló

A Drupal Custom Publishing Options bővítményének sérülékenysége vált ismertté, amelyet kihasználva a rosszindulatú felhasználók script beszúrásos (script insertion) támadásokat hajthatnak végre.

Leírás

A státusz címkékkel (status labels) kapcsolatos bizonyos bemeneti adat nincs megfelelően megtisztítva, mielőtt felhasználásra kerülne. Ezt kihasználva, tetszőleges HTML és script kódot lehet futtatni a felhasználó böngészőjének munkamenetében az érintett oldal vonatkozásában.

A sérülékenység sikeres kihasználása “administer nodes” jogosultságot igényel.

A sérülékenység a 6.x-1.5 előtti verziókat érinti.

Hivatkozások

Gyártói referencia: drupal.org
Egyéb referencia: www.madirish.net
SECUNIA 50256

Legfrissebb sérülékenységek

CVE-2024-10924 – Really Simple Security WordPress plugin authentication bypass sérülékenysége

CVE-2024-1212 – LoadMaster szoftver RCE (remote-code-execution) sérülékenysége

CVE-2024-38813 – VMware vCenter Server privilege escalation sérülékenysége

CVE-2024-38812 – VMware vCenter Server heap-based overflow sérülékenysége

CVE-2024-0012 – Palo Alto Networks PAN-OS software sérülékenysége

CVE-2024-9474 – Palo Alto Networks PAN-OS Management Interface sérülékenysége

CVE-2024-43093 – Android Framework Privilege Escalation sebezhetősége

CVE-2021-26086 – Atlassian Jira Server and Data Center Path Traversal sebezhetősége

CVE-2014-2120 – Cisco Adaptive Security Appliance (ASA) Cross-Site Scripting (XSS) sebezhetősége

CVE-2024-50330 – Ivanti Endpoint Manager SQL injection sérülékenysége

Tovább a sérülékenységekhez »

Drupal Custom Publishing Options bővítmény sérülékenység