Összefoglaló
A TrailScout Mmodule for Drupal olyan sérülékenységei váltak ismertté, melyeket kihasználva rosszindulatú támadók script beszúrásos és SQL befecskendezéses támadást tudnak végrehajtani.
Leírás
A TrailScout Mmodule for Drupal olyan sérülékenységei váltak ismertté, melyeket kihasználva rosszindulatú támadók script beszúrásos és SQL befecskendezéses támadást tudnak végrehajtani.
-
Az új bejegyzés létrehozásához rendelt bevitel nincs megfelelően megtisztítva használat előtt. Ez kihasználható tetszőleges HTML és script kód beszúrására, ami a felhasználó böngészőjében fut le egy érintett oldallal kapcsolatosan a kártékony bejegyzés megtekintésekor.
A sikeres kihasználáshoz jogosultság kell a bejegyzések megtételére.
- Egyes cookie-khoz rendelt bevitel nincs megfelelően tisztázva mielőtt SQL lekérdezésekben használnák. Ez kihasználható az SQL lekérdezések módosítására tetszőleges kód beszúrásával.
A sérülékenységek az 5.x-1.4-est megelőző 5.x Drupal verziókban találhatóak.
Megoldás
Frissítsen a legújabb verzióraTámadás típusa
Input manipulation (Bemenet módosítás)Hatás
Loss of confidentiality (Bizalmasság elvesztése)Loss of integrity (Sértetlenség elvesztése)
Szükséges hozzáférés
Remote/Network (Távoli/hálózat)Hivatkozások
Gyártói referencia: drupal.org
SECUNIA 30764
CVE-2008-2849 - NVD CVE-2008-2849
CVE-2008-2850 - NVD CVE-2008-2850