Összefoglaló
A Drupal esetében MAGAS kockázati besorolású sérülékenységek váltak ismertté, amelyeket kihasználva a rosszindulatú távoli felhasználók képesek lehetnek tetszőleges kódot futtatni a site-ot meglátogatók böngészőjében, illetve hozzáférni az oldal konfigurációs állományaihoz. A sérülékenységeket kiküszöbölő megoldás már beszerezhető a gyártótól.
Leírás
A felfedezett biztonsági hibák:
- Azon felhasználók, akiknek joguk van szerkeszteni egy node-ot, beállíthatják a kommentek láthatóságát, annak ellenére, hogy ez admin jogosultsághoz kötött.
- Egy nem megfelelő HTTP kivételkezelés miatt a támadók XSS (Cross-site Scripting) támadást képesek végrehajtani: egy speciálisan szerkesztett url segítségével tetszőleges kódot képesek futtatni az áldozat böngészőjében.
- Továbbá a site teljes konfigurációja letölthető admin jogosultság nélkül.
Megoldás
Frissítsen a legutóbbi (8.1.10) verzióra.
Támadás típusa
Cross Site Scripting (XSS/CSS)Information disclosure (Információ/adat szivárgás)
execute arbitrary code
Hatás
Loss of integrity (Sértetlenség elvesztése)Szükséges hozzáférés
Remote/Network (Távoli/hálózat)Hivatkozások
Gyártói referencia: www.drupal.org