Érintett rendszerek
DrupalViews module
Érintett verziók
Drupal Views Module 5.x
Drupal Views Module 6.x
Összefoglaló
A Drupal Views Module sérülékenységét azonosították, amelyet kihasználva a támadók érzékeny információkat szerezhetnek meg.
Leírás
A sérülékenységet a modules/views/includes/ajax.inc “views_ajax_autocomplete_user()” függvényének hibája okozza, amely nem megfelelően ellenőrzi a hozzáférésre vonatkozó engedélyeket a felhasználó nevek bekérése előtt. Ez kihasználható az érvényes felhasználó nevek megismerésére.
A hibát a 6.x-2.11 verzióban bizonyították, de jelentették az 5.x-1.8 verzióban is. Más verziók is érintettek lehetnek.
Megoldás
Szerkessze a forráskódot, a megfelelő hozzáféri korlátozások beállításához.
Támadás típusa
Information disclosure (Információ/adat szivárgás)Hatás
Loss of confidentiality (Bizalmasság elvesztése)Szükséges hozzáférés
Remote/Network (Távoli/hálózat)Hivatkozások
Egyéb referencia: www.madirish.net
SECUNIA 40444
