Drupal Project Issue File Review modul Script beszúrásos sérülékenységek

CH azonosító

CH-10666

Angol cím

Drupal Project Issue File Review Module Two Script Insertion Vulnerabilities

Felfedezés dátuma

2014.03.03.

Súlyosság

Alacsony

Érintett rendszerek

Drupal

Érintett verziók

Drupal Project Issue File Review Module 6.x

Összefoglaló

A Drupal Project Issue File Review moduljának két sérülékenysége vált ismertté, amelyeket kihasználva a rosszindulatú felhasználók script beszúrásos támadásokat hajthatnak végre.

Leírás

 

  1. Bizonyos nem részletezett bemeneti adat nincs megfelelően megtisztítva mielőtt felhasználásra kerülne. Ez kihasználható tetszőleges HTML és script kód beszúrására, amely a felhasználó böngészőjének munkamenetében fog lefutni, az érintett oldallal kapcsolatban, a káros tartalom megtekintése közben.
    A sérülékenység sikeres kihasználása “manage PIFR environments” jogosultságot igényel.
  2. Bizonyos nem részletezett bemeneti adat, a PIFR környezethez történő javítás beküldéskor, nincs megfelelően megtisztítva, mielőtt felhasználásra kerülne. Ez kihasználható tetszőleges HTML és script kód beszúrására, amely a felhasználó böngészőjének munkamenetében fog lefutni, az érintett oldallal kapcsolatban, a káros tartalom megtekintése közben.
    A sérülékenység sikeres kihasználása feltételezi, hogy a javítások (patch) tesztelése sikeresen fut.

 

A sérülékenységeket a 6.x-2.17 előtti 6.x-2.x verziókban jelentették.

Megoldás

Frissítsen a legújabb verzióra

Legfrissebb sérülékenységek
CVE-2024-53104 – Linux Kernel sérülékenysége
CVE-2025-24993 – Microsoft Windows NTFS Heap-Based Buffer Overflow sebezhetősége
CVE-2025-24991 – Microsoft Windows NTFS Out-Of-Bounds Read sebezhetősége
CVE-2025-24985 – Microsoft Windows Fast FAT File System Driver Integer Overflow sebezhetősége
CVE-2025-24984 – Microsoft Windows NTFS Information Disclosure sebezhetősége
CVE-2025-24983 – Microsoft Windows Win32k Use-After-Free sebezhetősége
CVE-2025-26633 – Microsoft Windows Management Console (MMC) Improper Neutralization sebezhetősége
CVE-2025-27363 – FreeType srülékenysége
CVE-2025-24201 – Apple WebKit sérülékenysége
CVE-2024-13161 – Ivanti Endpoint Manager (EPM) Absolute Path Traversal sebezhetősége
Tovább a sérülékenységekhez »