CH azonosító
CH-6864Angol cím
Drupal Aberdeen Theme Content Title Breadcrumb Script Insertion VulnerabilityFelfedezés dátuma
2012.05.16.Súlyosság
AlacsonyÖsszefoglaló
A Drupal Aberdeen Theme olyan sérülékenysége vált ismertté, amelyet kihasználva a rosszindulatú támadók script beszúrásos (script insertion) támadásokat tudnak végrehajtani.
Leírás
Egyes a tartalom címmell átadott bemeneti adat nincsen megfelelően megtisztítva használat előtt. Ez kihasználható tetszőleges HTML és script kód beszúrására, ami a felhasználó böngészőjének munkamenetében fut le egy érintett oldallal kapcsolatosan a kártékony adatok megjelenítésekor.
Sikeres kihasználás tartalom létrehozási és módosítási jog megléte, és az alapértelmezés szerint tiltott “Append the content title to the end of the breadcrumb” opció engedélyezése esetén lehetséges.
A sérülékenységet a 6.x-1.11 előtti 6.x-1.x verziókban jelentették.
Megoldás
Frissítsen a legújabb verzióraTámadás típusa
Input manipulation (Bemenet módosítás)Hatás
Loss of confidentiality (Bizalmasság elvesztése)Loss of integrity (Sértetlenség elvesztése)
Szükséges hozzáférés
Remote/Network (Távoli/hálózat)Hivatkozások
Gyártói referencia: drupal.org
SECUNIA 49150