CH azonosító
CH-4297Angol cím
Drupal Chatroom Module Two VulnerabilitiesFelfedezés dátuma
2011.02.02.Súlyosság
KözepesÖsszefoglaló
A Drupal Chatroom modul olyan sérülékenységei váltak ismertté, amelyeket a támadók kihasználhatnak cross-site request forgery (XSRF/CSRF) és script beszúrásos (script injection) támadások okozására.
Leírás
- A modul megengedi a felhasználóknak, hogy érvényesség ellenőrzés nélküli HTTP kérésekkel bizonyos cselekedeteket hajtsanak végre. Ez kihasználható bizonyos adminisztratív feladatok futtatására, amennyiben a bejelentkezett adminisztrátor meglátogat egy rosszindulatú weboldalt.
- A chat üzenetekkel átadott bemeneti adat nem kerül megfelelően ellenőrzésre használat előtt.
Ez kihasználható tetszőleges HTML és script kód beszúrására, amely felhasználó böngészőjének munkamenetében kerül lefuttatásra az érintett oldallal kapcsolatosan, amikor a rosszindulatú tartalom megtekintésre kerül.
A sérülékenységeket a 6.x-2.13. megelőző verziókban jelentették.
Megoldás
Frissítsen a 6.x-2.13. vagy későbbi verzióra.
Támadás típusa
Input manipulation (Bemenet módosítás)Security bypass (Biztonsági szabályok megkerülése)
Hatás
Loss of confidentiality (Bizalmasság elvesztése)Loss of integrity (Sértetlenség elvesztése)
Szükséges hozzáférés
Remote/Network (Távoli/hálózat)Hivatkozások
Gyártói referencia: drupal.org
SECUNIA 43183