Érintett rendszerek
DrupalInternationalization module
Érintett verziók
Drupal Internationalization module 6.x 1.0 - 1.3
Összefoglaló
Néhány sérülékenységet fedeztek fel a Drupal Internationalization modulban, amelyeket támadók kihasználhatnak script beszúrás támadások indítására.
Leírás
Néhány sérülékenységet fedeztek fel a Drupal Internationalization modulban, amelyeket támadók kihasználhatnak script beszúrás támadások indítására.
- A fordító blokkoknak átadott egyes bemenetek megjelenítés előtti ellenőrzése nem megfelelő. Ez kihasználható tetszőleges HTML és script kód beszúrására, amely lefuttatásra kerül, amikor a felhasználó az érintett oldalon böngészik és megtekinti a káros adatot.
- Egyes nem részletezett bemenetek megjelenítés előtti ellenőrzése nem megfelelő. Ez kihasználható tetszőleges HTML és script kód beszúrására, amely lefuttatásra kerül, amikor a felhasználó az érintett oldalon böngészik és megtekinti a káros adatot.
Sikeres kihasználáshoz a “translate interface” és az “administer blocks” jogosultságok szükségesek.
Megoldás
Frissítsen a legújabb verzióraTámadás típusa
Input manipulation (Bemenet módosítás)Other (Egyéb)
Hatás
Loss of confidentiality (Bizalmasság elvesztése)Loss of integrity (Sértetlenség elvesztése)
Szükséges hozzáférés
Remote/Network (Távoli/hálózat)Hivatkozások
Gyártói referencia: drupal.org
CVE-2010-1530 - NVD CVE-2010-1530
SECUNIA 39361