Drupal Ubercart Module “full name” script beszúrásos sérülékenység

2013. február 22. 07:08

CH azonosító

CH-8533

Angol cím

Drupal Ubercart Module "full name" Script Insertion Vulnerability

Felfedezés dátuma

2013.02.20.

Súlyosság

Alacsony

Érintett rendszerek

Drupal
Ubercart module

Érintett verziók

Drupal Ubercart Module 7.x

Összefoglaló

A Drupal Ubercart moduljának sérülékenysége vált ismertté, amelyet kihasználva a támadók script beszúrásos támadásokat hajthatnak végre.

Leírás

A “full name” mezővel kapcsolatos egyes bemeneti adatok nincsenek megfelelően megtisztítva a Views modulban, mielőtt felhasználásra kerülne. Ezt kihasználva, tetszőleges HTML és script kódot lehet futtatni a felhasználó böngészőjének munkamenetében az érintett oldal vonatkozásában a káros tartalom megtekintése közben.

A sérülékenység kihasználásához el kell tudni helyezni egy nevet egy megrendelésben a checkout folyamat közben.

A sérülékenységet a 7.x-3.4 előtti 7.x-3.x verziókban jelentették.

Legfrissebb sérülékenységek

CVE-2024-5932 – The GiveWP – Donation Plugin and Fundraising Platform plugin for WordPress sérülékenysége

CVE-2024-38193 – Windows Ancillary Function Driver for WinSock Elevation of Privilege sérülékenysége

CVE-2024-6337 – GitHub Enterprise Server sérülékenysége

CVE-2024-7711 – GitHub Enterprise Server sérülékenysége

CVE-2024-6800 – GitHub Enterprise Server sérülékenysége

CVE-2024-21302 – Microsoft Windows Nem megfelelő hozzáférés-ellenőrzés sérülékenysége

CVE-2024-38202 – Microsoft Windows Nem megfelelő hozzáférés-ellenőrzés sérülékenysége

CVE-2023-45249 – Acronis Cyber Infrastructure (ACI) RCE sérülékenysége

CVE-2024-41110 – Docker Engine AuthZ pluginok sérülékenysége

CVE-2024-20401 – Cisco Secure Email Gateway sérülékenysége

Tovább a sérülékenységekhez »

Drupal Ubercart Module “full name” script beszúrásos sérülékenység