Drupal Bot Alarm modul script beszúrás sérülékenységek

2011. szeptember 1. 11:26

CH azonosító

CH-5481

Angol cím

Drupal Bot Alarm Module Cross-Site Request Forgery and Script Insertion Vulnerabilities

Felfedezés dátuma

2011.08.31.

Súlyosság

Alacsony

Érintett rendszerek

Bot Alarm module
Drupal

Érintett verziók

Drupal Bot Alarm module 6.x 1.0

Összefoglaló

A Drupal Bot Alarm moduljának két sérülékenységét jelentették, amelyeket kihasználva felhasználók script befecskendezéses, valamint támadók cross-site kérés hamisítás (XSRF – cross-site request forgery) támadást hajthatnak végre.

Leírás

A riasztások üzeneteihez és csatornáihoz kapcsolódó bizonyos bemenő adatok nincsenek megfelelően megtisztítva felhasználás előtt a riasztásokat kilistázó weboldalak megtekintésekor. Ez kihasználható tetszőleges HTML és script kód lefuttatására a felhasználó érintett oldallal kapcsolatos böngészői munkamenetében.
A hiba sikeres kihasználásához “administer bot” jogosultság szükséges.
Az alkalmazás lehetővé teszi a felhasználók számára, hogy bizonyos műveleteket HTTP kérések útján végezzenek el, bármiféle ellenőrzés nélkül. Ezt kihasználva, pl. törölni lehet egy riasztást (alarm), ha egy bejelentkezett adminisztrátor meglátogat egy káros tartalmú weboldalt.

Drupal Bot Alarm modul script beszúrás sérülékenységek

Drupal Bot Alarm modul script beszúrás sérülékenységek

CH azonosító

Angol cím

Felfedezés dátuma

Súlyosság

Érintett rendszerek

Érintett verziók

Összefoglaló

Leírás

Megoldás

Támadás típusa

Hatás

Szükséges hozzáférés

Hivatkozások

Figyelmeztetések

Legfrissebb sérülékenységek

Drupal Bot Alarm modul script beszúrás sérülékenységek

Drupal Bot Alarm modul script beszúrás sérülékenységek

CH azonosító

Angol cím

Felfedezés dátuma

Súlyosság

Érintett rendszerek

Érintett verziók

Összefoglaló

Leírás

Megoldás

Támadás típusa

Hatás

Szükséges hozzáférés

Hivatkozások

Figyelmeztetések

Legfrissebb sérülékenységek

Pin It on Pinterest