Drupal Bot Alarm modul script beszúrás sérülékenységek

2011. szeptember 1. 11:26

CH azonosító

CH-5481

Angol cím

Drupal Bot Alarm Module Cross-Site Request Forgery and Script Insertion Vulnerabilities

Felfedezés dátuma

2011.08.31.

Súlyosság

Alacsony

Érintett rendszerek

Bot Alarm module
Drupal

Érintett verziók

Drupal Bot Alarm module 6.x 1.0

Összefoglaló

A Drupal Bot Alarm moduljának két sérülékenységét jelentették, amelyeket kihasználva felhasználók script befecskendezéses, valamint támadók cross-site kérés hamisítás (XSRF – cross-site request forgery) támadást hajthatnak végre.

Leírás

A riasztások üzeneteihez és csatornáihoz kapcsolódó bizonyos bemenő adatok nincsenek megfelelően megtisztítva felhasználás előtt a riasztásokat kilistázó weboldalak megtekintésekor. Ez kihasználható tetszőleges HTML és script kód lefuttatására a felhasználó érintett oldallal kapcsolatos böngészői munkamenetében.
A hiba sikeres kihasználásához “administer bot” jogosultság szükséges.
Az alkalmazás lehetővé teszi a felhasználók számára, hogy bizonyos műveleteket HTTP kérések útján végezzenek el, bármiféle ellenőrzés nélkül. Ezt kihasználva, pl. törölni lehet egy riasztást (alarm), ha egy bejelentkezett adminisztrátor meglátogat egy káros tartalmú weboldalt.

Legfrissebb sérülékenységek

CVE-2024-31857 – WordPress Forminator plugin sérülékenysége

CVE-2024-31077 – WordPress Forminator plugin sérülékenysége

CVE-2024-28890 – WordPress Forminator plugin sérülékenysége

CVE-2024-20295 – Cisco IMC sérülékenysége

CVE-2024-3400 – Palo Alto Networks PAN-OS sérülékenysége

CVE-2024-3566 – Windows CreateProcess sérülékenysége

CVE-2024-22423 – yt-dlp sérülékenysége

CVE-2024-1874 – PHP sérülékenysége

CVE-2024-24576 – Rust sérülékenysége

CVE-2023-45590 – Fortinet FortiClientLinux sérülékenysége

Tovább a sérülékenységekhez »

Drupal Bot Alarm modul script beszúrás sérülékenységek