CH azonosító
CH-4399Angol cím
Drupal Messaging Module Script Insertion VulnerabilityFelfedezés dátuma
2011.02.16.Súlyosság
AlacsonyÖsszefoglaló
A Drupal Messaging modul olyan sérülékenysége vált ismertté, amelyet a támadók kihasználhatnak script beszúrásos (script injection) támadások okozására.
Leírás
Bizonyos nem részletezett bemeneti adat nem kerül megfelelően ellenőrzésre, mielőtt a felhasználó részére megjelenítésre kerülne. Ez kihasználható tetszőleges HTML és script kód futtatására a felhasználó böngészőjének munkamenetében, az érintett oldallal kapcsolatosan, amikor a rosszindulatú adat megtekintésre kerül.
A sérülékenység sikeres kihasználásához “administer messaging” jogosultság szükséges.
A sérülékenységet a 6.x-2.4. megelőző verziókban ismerték fel.
Megoldás
Frissítsen a 6.x-2.4 vagy későbbi verzióra.
Támadás típusa
Input manipulation (Bemenet módosítás)Hatás
Loss of confidentiality (Bizalmasság elvesztése)Loss of integrity (Sértetlenség elvesztése)
Szükséges hozzáférés
Remote/Network (Távoli/hálózat)Hivatkozások
SECUNIA 43385
Gyártói referencia: drupal.org