Érintett rendszerek
Case Tracker moduleDrupal
Érintett verziók
Drupal Case Tracker module 5.x 1.0 - 1.3
Összefoglaló
A Drupal Case Tracker moduljának olyan két sérülékenységét jelentették, amelyeket a rosszindulatú felhasználók kihasználhatnak script beszúrásos támadások indítására és bizonyos biztonsági korlátozások megkerülésére.
Leírás
A Drupal Case Tracker moduljának olyan két sérülékenységét jelentették, amelyeket a rosszindulatú felhasználók kihasználhatnak script beszúrásos támadások indítására és bizonyos biztonsági korlátozások megkerülésére.
-
Bizonyos meghatározatlan bemenet nincs megfelelően ellenőrizve, mielőtt megjelenítésre kerülne. Ezt kihasználva, tetszőleges HTML és script kódot lehet lefuttatni a felhasználó böngészőjében, az érintett oldal vonatkozásában.
A hiba sikeres kihasználásához “administer casetracker” jogosultság szükséges.
-
A sérülékenységet egy hozzáférési engedélyek kezelése során fellépő meghatározatlan hiba okozza. Bővebb információ jelenleg nem áll rendelkezésre.
A hiba sikeres kihasználásához “access case tracker” jogosultság szükséges.
Megoldás
Frissítsen a legújabb verzióraTámadás típusa
Input manipulation (Bemenet módosítás)Misconfiguration (Konfiguráció)
Hatás
Loss of confidentiality (Bizalmasság elvesztése)Loss of integrity (Sértetlenség elvesztése)
Szükséges hozzáférés
Remote/Network (Távoli/hálózat)Hivatkozások
Gyártói referencia: drupal.org
SECUNIA 40308