Drupal Rotor Banner modul script beszúrás sérülékenységek

2010. május 19. 22:00

CH azonosító

CH-3145

Felfedezés dátuma

2010.05.19.

Súlyosság

Alacsony

Érintett rendszerek

Drupal
Rotor Banner module

Érintett verziók

Drupal Rotor Banner module 5.x 1.0 - 1.7, 6.x 1.0 - 2.4

Összefoglaló

A Drupal Rotor Banner modul olyan sérülékenységeit jelentették, amelyeket kihasználva a rosszindulatú felhasználók script beszúrásos támadásokat hajthatnak végre.

Leírás

A Drupal Rotor Banner modul olyan sérülékenységeit jelentették, amelyeket kihasználva a rosszindulatú felhasználók script beszúrásos támadásokat hajthatnak végre.

Az “srs”, “title” és “alt” paramétereknek átadott bemenet egy rotor elem létrehozása vagy szerkesztése során nincs megfelelően ellenőrizve, mielőtt megjelenítésre kerülne. Ezt kihasználva, tetszőleges HTML és script kódot lehet lefuttatni a felhasználó böngészőjében, az érintett oldal vonatkozásában.

A sérülékenység kihasználásához szükséges a “create rotor item” vagy “edit any rotor item” jogosultság.

Legfrissebb sérülékenységek

CVE-2024-10924 – Really Simple Security WordPress plugin authentication bypass sérülékenysége

CVE-2024-1212 – LoadMaster szoftver RCE (remote-code-execution) sérülékenysége

CVE-2024-38813 – VMware vCenter Server privilege escalation sérülékenysége

CVE-2024-38812 – VMware vCenter Server heap-based overflow sérülékenysége

CVE-2024-0012 – Palo Alto Networks PAN-OS software sérülékenysége

CVE-2024-9474 – Palo Alto Networks PAN-OS Management Interface sérülékenysége

CVE-2024-43093 – Android Framework Privilege Escalation sebezhetősége

CVE-2021-26086 – Atlassian Jira Server and Data Center Path Traversal sebezhetősége

CVE-2014-2120 – Cisco Adaptive Security Appliance (ASA) Cross-Site Scripting (XSS) sebezhetősége

CVE-2024-50330 – Ivanti Endpoint Manager SQL injection sérülékenysége

Tovább a sérülékenységekhez »

Drupal Rotor Banner modul script beszúrás sérülékenységek