Drupal Webform Module script beszúrási sérülékenységek

CH azonosító

CH-4934

Angol cím

Drupal Webform Module Script Insertion Vulnerabilities

Felfedezés dátuma

2011.05.18.

Súlyosság

Közepes

Érintett rendszerek

Drupal
Webform module

Érintett verziók

Drupal Webform Module 6.x
Drupal Webform Module 7.x

Összefoglaló

A Drupal Webform modul olyan sérülékenységei váltak ismertté, amelyeket rosszindulatú felhasználók és a támadók kihasználhatnak script beszúrásos (script insertion) támadások kezdeményezésére.

Leírás

  1. A “name” paraméterrel átadott bemeneti adat, amikor egy új űrlap küldése történik, nem kerül megfelelően ellenőrzésre a sites/all/modules/webform/includes/webform.report.inc-ben, mielőtt a felhasználó részére megjelenítésre kerülne. Ez kihasználható tetszőleges HTML és script kód beszúrására, amely az érintett oldal felhasználói böngésző munkamenetében kerül lefuttatásra, amikor a rosszindulatú adat megtekintésre kerül. A sérülékenység sikeres kihasználható “create webform content” vagy “administer nodes” jogosultságokkal.
  2. A fájlnévvel átadott bemeneti adat, amikor a webes űrlappal egy fájl feltöltése történik nem kerül megfelelően ellenőrzésre a sites/all/modules/webform/components/file.inc-ben, mielőtt a felhasználó részére megjelenítésre kerülne. Ez kihasználható tetszőleges HTML és script kód beszúrására, amely az érintett oldal felhasználói böngésző munkamenetében kerül lefuttatásra, amikor a rosszindulatú adat megtekintésre kerül.A sérülékenységeket a 6.x-2.10, 6.x-3.9 és 7.x-3.9. verziókban ismerték fel.

Megoldás

Frissítsen a javított verzióra.


Legfrissebb sérülékenységek
CVE-2024-53104 – Linux Kernel sérülékenysége
CVE-2025-6463 – Wordpress sérülékenység
CVE-2024-51978 – Brother sérülékenység
CVE-2025-6543 – Citrix NetScaler sérülékenysége
CVE-2014-4078 – Microsoft Exchange szerver sérülékenység
CVE-2025-6170 – Red Hat sebezhetősége
CVE-2025-6021 – Red Hat sebezhetősége
CVE-2025-49796 – Red Hat sebezhetősége
CVE-2025-5777 – Citrix NetScaler sebezhetősége
CVE-2025-49825 – Teleport sebezhetősége
Tovább a sérülékenységekhez »