Érintett rendszerek
Advertisement moduleDrupal
Érintett verziók
Drupal Advertisement module 5.X, 6.X
Összefoglaló
A Drupal Advertisement moduljában jelentettek egy sérülékenységet, melyet rosszindulatú felhasználók kihasználhatnak script beszúrásos támadások lefolytatására.
Leírás
A Drupal Advertisement moduljában jelentettek egy sérülékenységet, melyet rosszindulatú felhasználók kihasználhatnak script beszúrásos támadások lefolytatására.
A meghatározatlan paramétereknek átadott bement nincs megfelelően ellenőrizve használat előtt. Ez kihasználható tetszőleges HTML és script kód futtatására a felhasználó böngészőjének munkamenetében az érintett oldallal kapcsolatosan, a káros hirdetés megjelenítésekor.
A sérülékenység sikeres kiaknázásához “create advertisements” jogosultság szükséges, és az, hogy a modult úgy konfigurálják, hogy az a Drupal alapértelmezett bemenet szűrőit figyelmen kívül hagyja.
A sérülékenységet az 5.x-1.7 és a 6.x-1.0-rc1 verziókat megelőzőekben jelentették.
Megoldás
Frissítsen a legújabb verzióraTámadás típusa
Input manipulation (Bemenet módosítás)Hatás
Loss of confidentiality (Bizalmasság elvesztése)Loss of integrity (Sértetlenség elvesztése)
Szükséges hozzáférés
Remote/Network (Távoli/hálózat)Hivatkozások
Gyártói referencia: drupal.org
SECUNIA 33919