Összefoglaló
Néhány sérülékenységet jelentettek a Drupal Ajax Session moduljában, amelyeket kihasználva a támadók cross-site request forgery és cross-site scripting támadásokat folytathatnak le.
Leírás
Néhány sérülékenységet jelentettek a Drupal Ajax Session moduljában, amelyeket kihasználva a támadók cross-site request forgery és cross-site scripting támadásokat folytathatnak le.
- Egy meghatározatlan bevitel nincs megfelelően megtisztítva mielőtt visszakerülne a felhasználóhoz. Ez kihasználható tetszőleges HTML és script kód futtatására a felhasználó böngészőjének munkamenetében, az érintett oldallal kapcsolatosan.
- A modul lehetővé teszi a felhasználók számára bizonyos műveletek előzetes ellenőrzés nélküli, HTTP kéréseken keresztüli végrehajtását. Ezt kihasználhatják bizonyos műveletek végrehajtásához.
A sérülékenységeket az 5.x-1.0 verzióban jelentették. Más verziók is érintettek lehetnek.
Megoldás
Módosítsa a forráskódot a bevitel megfelelő ellenőrzésének érdekében!
A Drupal Security Team szerint ajánlott eltávolítani a plugint.
Támadás típusa
Input manipulation (Bemenet módosítás)Other (Egyéb)
Hatás
Loss of availability (Elérhetőség elvesztése)Loss of confidentiality (Bizalmasság elvesztése)
Loss of integrity (Sértetlenség elvesztése)
Szükséges hozzáférés
Remote/Network (Távoli/hálózat)Hivatkozások
Gyártói referencia: drupal.org
SECUNIA 35232
