CH azonosító
CH-5481Angol cím
Drupal Bot Alarm Module Cross-Site Request Forgery and Script Insertion VulnerabilitiesFelfedezés dátuma
2011.08.31.Súlyosság
AlacsonyÖsszefoglaló
A Drupal Bot Alarm moduljának két sérülékenységét jelentették, amelyeket kihasználva felhasználók script befecskendezéses, valamint támadók cross-site kérés hamisítás (XSRF – cross-site request forgery) támadást hajthatnak végre.
Leírás
- A riasztások üzeneteihez és csatornáihoz kapcsolódó bizonyos bemenő adatok nincsenek megfelelően megtisztítva felhasználás előtt a riasztásokat kilistázó weboldalak megtekintésekor. Ez kihasználható tetszőleges HTML és script kód lefuttatására a felhasználó érintett oldallal kapcsolatos böngészői munkamenetében.
A hiba sikeres kihasználásához “administer bot” jogosultság szükséges. - Az alkalmazás lehetővé teszi a felhasználók számára, hogy bizonyos műveleteket HTTP kérések útján végezzenek el, bármiféle ellenőrzés nélkül. Ezt kihasználva, pl. törölni lehet egy riasztást (alarm), ha egy bejelentkezett adminisztrátor meglátogat egy káros tartalmú weboldalt.
Megoldás
Frissítsen a legújabb verzióraTámadás típusa
Input manipulation (Bemenet módosítás)Hatás
Loss of confidentiality (Bizalmasság elvesztése)Loss of integrity (Sértetlenség elvesztése)
Szükséges hozzáférés
Remote/Network (Távoli/hálózat)Hivatkozások
Gyártói referencia: drupal.org
SECUNIA 45797