A Drupal Aggregation modul többszörös sérülékenysége

CH azonosító

CH-1311

Felfedezés dátuma

2008.06.11.

Súlyosság

Közepes

Érintett rendszerek

Aggregation module
Drupal

Érintett verziók

Drupal Aggregation module 5.x

Összefoglaló

A Drupal Aggregation moduljának számos sérülékenységét jelentették, melyet rosszindulatú támadók bizonyos biztonsági korlátozások megkerülésére, cross-site scripting támadásokra, SQL befecskendezéses támadásokra, valamint a sérülékeny rendszer feltörésére használhatnak.

Leírás

A Drupal Aggregation moduljának számos sérülékenységét jelentették, melyet rosszindulatú támadók bizonyos biztonsági korlátozások megkerülésére, cross-site scripting támadásokra, SQL befecskendezéses támadásokra, valamint a sérülékeny rendszer feltörésére használhatnak.

  1. Különböző meg nem határozott paramétereknek átadott bevitel nincs megfelelően megtisztítva, mielőtt visszakerülne a felhasználóhoz. Ez kihasználható tetszőleges HTML és szkript kód végrehajtására a felhasználó böngészőjének munkamenetében, az érintett oldallal kapcsolatosan.
  2. Különböző meg nem határozott paramétereknek átadott bevitel nincs megfelelően megtisztítva, mielőtt SQL lekérdezésekhez használnák. Ez kihasználható az SQL lekérdezések manipulálására, tetszőleges kód befecskendezésével.
  3. Lehetőség nyílik tetszőleges fájlok feltöltésére rosszindulatú hírcsatornákon. A szerver konfigurációjától függően, lehetőség adódhat tetszőleges kód végrehajtása is.
  4. Az acces control (hozzáférés vezérlés) implementációjában lévő hiba bizonyos biztonsági korlátozások megkerülésére használható.

    Ezen sérülékenység kiaknázásának feltétele, hogy a node access modulokat (taxonomy access control, acl) használják.

A sérülékenységeket az 5.x-4.4 előtti verziókban jelentették.

Megoldás

Frissítsen a legújabb verzióra

Legfrissebb sérülékenységek
CVE-2024-53104 – Linux Kernel sérülékenysége
CVE-2025-2746 – Kentico Xperience CMS Authentication Bypass Using an Alternate Path or Channel sérülékenysége
CVE-2022-48503 – Apple Multiple Products Unspecified sérülékenysége
CVE-2025-9968 – ASUS Armoury Crate sérülékenysége
CVE-2025-9337 – ASUS Armoury Crate sérülékenysége
CVE-2025-9336 – ASUS Armoury Crate sérülékenysége
CVE-2025-47827 – IGEL OS Use of a Key Past its Expiration Date sérülékenysége
CVE-2025-24990 – Microsoft Windows Untrusted Pointer Dereference sérülékenysége
CVE-2025-59230 – Microsoft Windows Improper Access Control sérülékenysége
CVE-2025-6264 – Rapid7 Velociraptor Incorrect Default Permissions sérülékenysége
Tovább a sérülékenységekhez »