Drupal sérülékenységek

CH azonosító

CH-13579

Angol cím

Drupal vulnerabilities

Felfedezés dátuma

2016.09.22.

Súlyosság

Magas

Érintett rendszerek

Drupal

Érintett verziók

8.1.10 előtti verziók.

Összefoglaló

A Drupal esetében MAGAS kockázati besorolású sérülékenységek váltak ismertté, amelyeket kihasználva a rosszindulatú távoli felhasználók képesek lehetnek tetszőleges kódot futtatni a site-ot meglátogatók böngészőjében, illetve hozzáférni az oldal konfigurációs állományaihoz. A sérülékenységeket kiküszöbölő megoldás már beszerezhető a gyártótól.

Leírás

A felfedezett biztonsági hibák:

  • Azon felhasználók, akiknek joguk van szerkeszteni egy node-ot, beállíthatják a kommentek láthatóságát, annak ellenére, hogy ez admin jogosultsághoz kötött.
  • Egy nem megfelelő HTTP kivételkezelés miatt a támadók XSS (Cross-site Scripting) támadást képesek végrehajtani: egy speciálisan szerkesztett url segítségével tetszőleges kódot képesek futtatni az áldozat böngészőjében.
  • Továbbá a site teljes konfigurációja letölthető admin jogosultság nélkül.

Megoldás

Frissítsen a legutóbbi (8.1.10) verzióra.


Legfrissebb sérülékenységek
CVE-2024-29944 – Mozilla Firefox ESR sérülékenysége
CVE-2024-29943 – Mozilla Firefox sérülékenysége
CVE-2024-28916 – Xbox Gaming Services sérülékenysége
CVE-2023-46808 – Ivanti Neurons for ITSM sérülékenysége
CVE-2024-2169 – UDP sérülékenysége
CVE-2023-41724 – Ivanti Standalone Sentry sérülékenysége
CVE-2024-27957 – Pie Register sérülékenysége
CVE-2024-25153 – Fortra FileCatalyst sérülékenysége
CVE-2024-21407 – Windows Hyper-V sérülékenysége
CVE-2024-21390 – Microsoft Authenticator sérülékenysége
Tovább a sérülékenységekhez »