Összefoglaló
Jelentettek néhány sérülékenységet a Drupal Help Tip moduljában, amit kihasználva rosszindulatú felhasználók SQL befecskendezést és rosszindulatú támadók cross-site scripting támadást hajthatnak végre.
Leírás
Jelentettek néhány sérülékenységet a Drupal Help Tip moduljában.
- Nem meghatározott paramétereknek átadott bement nincs megfelelően megtisztítva mielőtt az SQL lekérdezésekben használnák.
A sérülékenység sikeres kihasználása rendszergazda szintű hozzáférést tehet lehetővé. - A node címnek átadott bemenet nincs megfelelően megtisztítva mielőtt a blokk címekben felhasználnák. Ezt kihasználva tetszőleges HTML és script kód futtatható le a felhasználó böngészőjében, ha meglátogatja az érintett oldalt.
A sebezhetőségeket a 4.7.x-1.0. előtti verziókban jelentették.
Megoldás
Frissítsen a legújabb verzióraTámadás típusa
Input manipulation (Bemenet módosítás)Hatás
Loss of confidentiality (Bizalmasság elvesztése)Loss of integrity (Sértetlenség elvesztése)
Szükséges hozzáférés
Remote/Network (Távoli/hálózat)Hivatkozások
SECUNIA 23295
Gyártói referencia: drupal.org
Gyártói referencia: drupal.org
CVE-2006-6530 - NVD CVE-2006-6530
CVE-2006-6531 - NVD CVE-2006-6531