Összefoglaló
A Drupal olyan sérülékenységei váltak ismertté, amelyeket a támadók kihasználhatnak bizonyos adatok manipulálására és bizonyos biztonsági korlátozások megkerülésére.
Leírás
- A sérülékenység oka, hogy az OpenID modul nem ellenőrzi megfelelően az Attribute Exchange (AX) információ aláírását. Ez kihasználható az AX információ manipulálására.
Ez a sérülékenységet a 6.23 és 7.11 előtti verziókban ismerték fel. - A File modulban található hiba, bizonyos mező hozzáférés modulok használatakor kihasználható eredetileg korlátozott elérésű, magán jellegű fájlok letöltésére.
A sérülékenységet a 7.11 előtti verziókban ismerték fel.
Megoldás
Frissítsen a legújabb verzióraTámadás típusa
Information disclosure (Információ/adat szivárgás)Input manipulation (Bemenet módosítás)
Hatás
Loss of confidentiality (Bizalmasság elvesztése)Loss of integrity (Sértetlenség elvesztése)
Szükséges hozzáférés
Remote/Network (Távoli/hálózat)Hivatkozások
Gyártói referencia: drupal.org
Egyéb referencia: openid.net
SECUNIA 47796
CVE-2012-0825 - NVD CVE-2012-0825
CVE-2012-0826 - NVD CVE-2012-0826
CVE-2012-0827 - NVD CVE-2012-0827