CH azonosító
CH-5607Angol cím
Drupal Views Bulk Operations Module Vocabulary Help Script Insertion VulnerabilityFelfedezés dátuma
2011.09.21.Súlyosság
AlacsonyÉrintett rendszerek
DrupalViews Bulk Operations module
Érintett verziók
Drupal Views Bulk Operations Module 6.x
Összefoglaló
A Drupal Views Bulk Operations modul olyan sérülékenysége vált ismertté, amelyet rosszindulatú felhasználók kihasználhatnak script beszúrásos (script insertion) támadások okozására.
Leírás
Bizonyos taxonómia módosítással kapcsolatos nem részletezett bemeneti adat a “Modify node taxonomy terms” tevékenységgel és a felhasználó jelölést engedélyező szótárral nem kerül megfelelően ellenőrzésre, mielőtt a felhasználó részére szótársúgóként megjelenítésre kerülne. Ez kihasználható tetszőleges HTML és script kód futtatására, amely a felhasználó böngészőjének munkamenetében kerül lefuttatásra, az érintett oldallal kapcsolatosan.
A sérülékenység sikeres kihasználása “administer taxonomy” jogosultságokkal lehetséges.
A sérülékenységet a 6.x-1.11. megelőző verziókban ismerték fel.
Megoldás
Frissítsen a 6.x-1.11. verzióra.
Támadás típusa
Input manipulation (Bemenet módosítás)Hatás
Loss of confidentiality (Bizalmasság elvesztése)Loss of integrity (Sértetlenség elvesztése)
Szükséges hozzáférés
Remote/Network (Távoli/hálózat)Hivatkozások
Gyártói referencia: drupal.org
SECUNIA 46114