Drupal Maestro Module sérülékenységek

2012. június 12. 10:36

CH azonosító

CH-7002

Angol cím

Drupal Maestro Module Script Insertion and Cross-Site Request Forgery Vulnerabilities

Felfedezés dátuma

2012.06.06.

Súlyosság

Alacsony

Érintett rendszerek

Drupal
Maestro Module

Érintett verziók

Drupal Maestro Module 7.x

Összefoglaló

A Drupal Maestro Module olyan sérülékenységei váltak ismertté, amelyeket kihasználva a rosszindulatú felhasználók script beszúrásos (script insertion), a támadók pedig cross-site request forgery (XSRF/CSRF) támadásokat tudnak végrehajtani.

Leírás

Egyes nem részletezett bemeneti adatok nincsenek megfelelően megtisztítva felhasználás előtt. Ez kihasználható tetszőleges HTML és script kód futtatására a felhasználó böngészőjének munkamenetében egy érintett oldallal kapcsolatosan a kártékony adatok megtekintésekor.
A sérülékenység sikeres kihasználásához maestro admin jogosultság szükséges.
Az alkalmazás lehetővé teszi a felhasználó számára bizonyos műveletek elvégzését HTTP kérések segítségével anélkül, hogy ellenőrizné azok érvényességét. Ez kihasználható a munkafolyamat módosítására, ha egy bejelentkezett adminisztrátor meglátogat egy speciálisan erre a célra elkészített weboldalt.

A sérülékenységeket a 7.x-1.x sorozat 7.x-1.2 előtti verzióiban jelentették.

Legfrissebb sérülékenységek

CVE-2024-53104 – Linux Kernel sérülékenysége

CVE-2025-2492 – ASUS Router AiCloud sérülékenysége

CVE-2025-42599 – Active! mail sérülékenysége

CVE-2025-31200 – Apple Memory Corruption sérülékenysége

CVE-2025-31201 – Apple Pointer Authentication sérülékenysége

CVE-2025-20236 – Cisco Webex App sebezhetősége

CVE-2017-5754 – Linux Kernel sebezhetősége

CVE-2014-0160 – OpenSSL Information Disclosure sebezhetősége

CVE-2025-23010 – SonicWall NetExtender Improper Link Resolution Before File Access ('Link Following') sebezhetősége

CVE-2025-23009 – SonicWall NetExtender Local Privilege Escalation sebezhetősége

Tovább a sérülékenységekhez »

Drupal Maestro Module sérülékenységek