Drupal Bot Alarm modul script beszúrás sérülékenységek

CH azonosító

CH-5481

Angol cím

Drupal Bot Alarm Module Cross-Site Request Forgery and Script Insertion Vulnerabilities

Felfedezés dátuma

2011.08.31.

Súlyosság

Alacsony

Érintett rendszerek

Bot Alarm module
Drupal

Érintett verziók

Drupal Bot Alarm module 6.x 1.0

Összefoglaló

A Drupal Bot Alarm moduljának két sérülékenységét jelentették, amelyeket kihasználva felhasználók script befecskendezéses, valamint támadók cross-site kérés hamisítás (XSRF – cross-site request forgery) támadást hajthatnak végre.

Leírás

  1. A riasztások üzeneteihez és csatornáihoz kapcsolódó bizonyos bemenő adatok nincsenek megfelelően megtisztítva felhasználás előtt a riasztásokat kilistázó weboldalak megtekintésekor. Ez kihasználható tetszőleges HTML és script kód lefuttatására a felhasználó érintett oldallal kapcsolatos böngészői munkamenetében.
    A hiba sikeres kihasználásához “administer bot” jogosultság szükséges.
  2. Az alkalmazás lehetővé teszi a felhasználók számára, hogy bizonyos műveleteket HTTP kérések útján végezzenek el, bármiféle ellenőrzés nélkül. Ezt kihasználva, pl. törölni lehet egy riasztást (alarm), ha egy bejelentkezett adminisztrátor meglátogat egy káros tartalmú weboldalt.

Megoldás

Frissítsen a legújabb verzióra

Legfrissebb sérülékenységek
CVE-2024-53104 – Linux Kernel sérülékenysége
CVE-2014-3931 – Multi-Router Looking Glass (MRLG) Buffer Overflow sérülékenysége
CVE-2016-10033 – PHPMailer Command Injection sérülékenysége
CVE-2019-5418 – Rails Ruby on Rails Path Traversal sérülékenysége
CVE-2019-9621 – Synacor Zimbra Collaboration Suite (ZCS) Server-Side Request Forgery (SSRF) sérülékenysége
CVE-2016-4484 – Linux sérülékenység
CVE-2025-32463 – Linux sérülékenység
CVE-2025-32462 – Linux sérülékenység
CVE-2025-6463 – Wordpress sérülékenység
CVE-2024-51978 – Brother sérülékenység
Tovább a sérülékenységekhez »