Összefoglaló
A Drupal OpenID moduljának néhány sérülékenységét jelentették, melyet kihasználva rosszindulatú támadók cross-site scripting vagy cross-site request forgery támadásokat okozhatnak.
Leírás
A Drupal OpenID moduljának néhány sérülékenységét jelentették, melyet kihasználva rosszindulatú támadók cross-site scripting vagy cross-site request forgery támadásokat okozhatnak.
- OpenID szolgáltatóból átadott bizonyos bemenet nincs megfelelően megtisztítva mielőtt visszakerülne a felhasználóhoz. Ez kihasználható tetszőleges HTML és script kód futtatására a felhasználó böngészőjében egy érintett oldallal kapcsolatosan.
- A modul megengedi a felhasználóknak bizonyos intézkedések, lépések véghezvitelét, HTTP kéréseken keresztül, a kérés érvényességének vizsgálata nélkül. Ez kihasználható például OpenID identitások törlésére, egy bejelentkezett felhasználó rosszindulatú oldalra való csábításával.
A sérülékenységek az 5x.-1.2 verzióknál korábbiakat érinti.
Megoldás
Frissítsen a legújabb verzióraTámadás típusa
Authentication Issues (Hitelesítés)Input manipulation (Bemenet módosítás)
Hatás
Loss of integrity (Sértetlenség elvesztése)Szükséges hozzáférés
Remote/Network (Távoli/hálózat)Hivatkozások
Gyártói referencia: drupal.org
SECUNIA 31027