Drupal Prepopulate module cross-site request forgery és script beszúrásos sérülékenység

2011. június 9. 11:16

CH azonosító

CH-5022

Angol cím

Drupal Prepopulate Module Cross-Site Request Forgery and Script Insertion Vulnerabilities

Felfedezés dátuma

2011.06.08.

Súlyosság

Alacsony

Érintett rendszerek

Drupal
Prepopulate module

Érintett verziók

Drupal Prepopulate module 6.x

Összefoglaló

A Drupal Prepopulate moduljának olyan sérülékenységeit jelentették, amelyeket kihasználva a rosszindulatú felhasználók script beszúrásos támadásokat és a támadók cross-site kérés hamisítás (CSRF – cross-site request forgery) támadásokat hajthatnak végre.

Leírás

A Prepopulate űrlap által átadott bemenet nincs megfelelően ellenőrizve, mielőtt felhasználásra kerülne. Ezt kihasználva, tetszőleges HTML és script kódot lehet lefuttatni a felhasználó böngészőjében, az érintett oldal vonatkozásában.
A sérülékenység sikeres kihasználásához szükségesek az űrlapok használatának engedélyezése bizonyos űrlap mezőkkel.
Az alkalmazás lehetővé teszi a felhasználóknak bizonyos műveletek elvégzését HTTP kérések segítségével anélkül, hogy ellenőrizné azok érvényességét. Ezt kihasználva meghatározatlan értékeket lehet egy űrlapon benyújtani, ha például egy bejelentkezett felhasználó meglátogat egy speciálisan elkészített weboldalt.

A sérülékenységeket a 6.x-2.2 verziónál korábbiakban jelentették.

Legfrissebb sérülékenységek

CVE-2024-53104 – Linux Kernel sérülékenysége

CVE-2014-4078 – Microsoft Exchange szerver sérülékenység

CVE-2025-6170 – Red Hat sebezhetősége

CVE-2025-6021 – Red Hat sebezhetősége

CVE-2025-49796 – Red Hat sebezhetősége

CVE-2025-5777 – Citrix NetScaler sebezhetősége

CVE-2025-49825 – Teleport sebezhetősége

CVE-2025-4322 – WordPress sérülékenység

CVE-2025-37091 – HPE StoreOnce Remote Code Execution sebezhetősége

CVE-2025-37093 – HPE StoreOnce Authentication Bypass sebezhetősége

Tovább a sérülékenységekhez »

Drupal Prepopulate module cross-site request forgery és script beszúrásos sérülékenység