Drupal BUEditor modul oldalakon keresztüli kérések meghamisítása

CH azonosító

CH-917

Felfedezés dátuma

2008.01.12.

Súlyosság

Alacsony

Érintett rendszerek

BUEditor module
Drupal

Érintett verziók

Drupal BUEditor module 4.X, 5.X

Összefoglaló

Egy sérülékenységet találtak a Drupal BUEditor nevű moduljában, melyet rosszindulatú támadók weboldalak közti hivatkozások hamisítására (cross-site request forgery attacks) használhatnak ki.

Leírás

Egy sérülékenységet találtak a Drupal BUEditor nevű moduljában, melyet rosszindulatú támadók weboldalak közti hivatkozások hamisítására (cross-site request forgery attacks) használhatnak ki.

A hiba oka az, hogy a modul lehetővé teszi a felhasználóknak bizonyos műveletek elvégzését HTTP kéréseken keresztül, a kérések érvényességének ellenőrzése nélkül. Ez kihasználható például a szokványos szerkesztői csatlakozási felületek törlésére, amikor a felhasználó meglátogat egy rosszindulatú web oldalt.

A sebezhetőséget a 4.7.x-1.1. előtti és a BUEditor 5.x-1. verziókban jelentették.

Megoldás

Frissítsen a legújabb verzióra

Legfrissebb sérülékenységek
CVE-2024-53104 – Linux Kernel sérülékenysége
CVE-2014-3931 – Multi-Router Looking Glass (MRLG) Buffer Overflow sérülékenysége
CVE-2016-10033 – PHPMailer Command Injection sérülékenysége
CVE-2019-5418 – Rails Ruby on Rails Path Traversal sérülékenysége
CVE-2019-9621 – Synacor Zimbra Collaboration Suite (ZCS) Server-Side Request Forgery (SSRF) sérülékenysége
CVE-2016-4484 – Linux sérülékenység
CVE-2025-32463 – Linux sérülékenység
CVE-2025-32462 – Linux sérülékenység
CVE-2025-6463 – Wordpress sérülékenység
CVE-2024-51978 – Brother sérülékenység
Tovább a sérülékenységekhez »