CH azonosító
CH-3923Angol cím
Drupal Category Tokens Module Script Insertion VulnerabilityFelfedezés dátuma
2010.11.10.Súlyosság
AlacsonyÖsszefoglaló
A Drupal Category Tokens moduljának olyan sérülékenységét jelentették, amelyet rosszindulatú felhasználók kihasználva script beszúrásos (script injection) támadásokat hajthatnak végre.
Leírás
A szótár nevek által átadott bemeneti adat, a szótárak létrehozása vagy szerkesztése során, nincs megfelelően ellenőrizve, mielőtt felhasználásra kerülne.Ezt kihasználva, tetszőleges HTML és script kódot lehet beszúrni a felhasználó böngészője által megjelenített munkafolyamatba, az érintett oldal vonatkozásában a kártékony adatok megtekintése során.
A sérülékenység sikeres kihasználásához szükséges az “administer taxonomy” engedély.
A sérülékenységet a 6.x-1.1 verziónál korábbiakban jelentették.
Megoldás
Frissítsen a legújabb verzióraTámadás típusa
Input manipulation (Bemenet módosítás)Hatás
Loss of confidentiality (Bizalmasság elvesztése)Szükséges hozzáférés
Remote/Network (Távoli/hálózat)Hivatkozások
SECUNIA 42168
Gyártói referencia: drupal.org