Összefoglaló
A Drupal esetében több biztonsági rés is napvilágra került. Ezek a hibák egyrészt a Drupal kódját, másrészt a Webform modult érintik. A kihasználásukkal spoofing típusú támadásokra, valamint XSS-alapú károkozásokra adódhat lehetőség.
Leírás
A sérülékenységek elsősorban arra vezethetők vissza, hogy az érintett kódok esetenként nem ellenőrzik megfelelő a bemeneti paramétereket (például a komponensnevet), ami tetszőleges HTML és script kódok futtatását eredményezheti.
Ugyancsak rendellenességek merültek fel a destination paraméter kezelése esetében is, ami tetszőleges weboldalakra történő átirányítást eredményezhet.
Megoldás
Frissítsen a legújabb verzióraMegoldás
A 6.35 vagy a 7.35 verziók telepítése.
Támadás típusa
Cross Site Scripting (XSS/CSS)Input Validation
Hatás
Loss of confidentiality (Bizalmasság elvesztése)Loss of integrity (Sértetlenség elvesztése)
Szükséges hozzáférés
Remote/Network (Távoli/hálózat)Hivatkozások
Gyártói referencia: www.drupal.org
Gyártói referencia: www.drupal.org
Egyéb referencia: isbk.hu