Összefoglaló
Néhány sérülékenységet találtak a Drupal Archive moduljában, melyet rosszindulaú támadók cross site scripting típusú támadásra használhatnak ki.
Leírás
Bemenő adat átadása azonosítatlan paramétereken keresztül, nincs megfelelően ellenőrizve, mielőtt visszakerülne a felhasználóhoz. Ezen hibát kihasználva tetszőleges HTML vagy script kódot lehet lefuttatni az áldozat böngészőjében egy érintett weboldal segítségével.
A hiba sikeres kihasználáshoz szükséges, hogy az érintett felhasználónak joga legyen hozzáférni a tartalomhoz.
A sérülékenység az 5.x-1.8 előtti verziókat érinti.
Megoldás
Frissítsen a legújabb verzióraTámadás típusa
Input manipulation (Bemenet módosítás)Hatás
Loss of availability (Elérhetőség elvesztése)Loss of confidentiality (Bizalmasság elvesztése)
Loss of integrity (Sértetlenség elvesztése)
Szükséges hozzáférés
Remote/Network (Távoli/hálózat)Hivatkozások
Gyártói referencia: drupal.org
SECUNIA 28632