CH azonosító
CH-4899Angol cím
Drupal Taxonomy Access Control Lite Module Script Insertion VulnerabilityFelfedezés dátuma
2011.05.11.Súlyosság
AlacsonyÉrintett rendszerek
DrupalTaxonomy Access Control Lite module
Érintett verziók
Drupal Taxonomy Access Control Lite Module 6.x
Összefoglaló
A Drupal Taxonomy Access Control Lite Module olyan sérülékenysége vált ismertté, amelyet kihasználva rosszindulatú felhasználók script beszúrásos (script insertion) támadásokat tudnak végrehajtani.
Leírás
Egyes bemeneti adatok nincsenek megfelelően tisztázva a felhasználónak történő megjelenítés előtt taxonómia nevekkel. Ez kihasználható tetszőleges HTML és script kód futtatására a felhasználó böngészőjének munkamenetében, az érintett oldallal kapcsolatosan “administer tac_lite” jogosultsággal.
A sikeres kihasználás feltétele “administer taxonomy” jogosultság megléte.
A sérülékenység a 6.x-1.5-öst megelőző verziókban található.
Megoldás
Frissítsen a 6.x-1.5-ös verzióra.
Támadás típusa
Input manipulation (Bemenet módosítás)Hatás
Loss of confidentiality (Bizalmasság elvesztése)Loss of integrity (Sértetlenség elvesztése)
Szükséges hozzáférés
Remote/Network (Távoli/hálózat)Hivatkozások
SECUNIA 44566
Gyártói referencia: drupal.org