Drupal Chatroom modul sérülékenységek

CH azonosító

CH-4297

Angol cím

Drupal Chatroom Module Two Vulnerabilities

Felfedezés dátuma

2011.02.02.

Súlyosság

Közepes

Érintett rendszerek

Chatroom module
Drupal

Érintett verziók

Drupal Chatroom Module 6.x

Összefoglaló

A Drupal Chatroom modul olyan sérülékenységei váltak ismertté, amelyeket a támadók kihasználhatnak cross-site request forgery (XSRF/CSRF) és script beszúrásos (script injection) támadások okozására.

Leírás

  1. A modul megengedi a felhasználóknak, hogy érvényesség ellenőrzés nélküli HTTP kérésekkel bizonyos cselekedeteket hajtsanak végre. Ez kihasználható bizonyos adminisztratív feladatok futtatására, amennyiben a bejelentkezett adminisztrátor meglátogat egy rosszindulatú weboldalt.
  2. A chat üzenetekkel átadott bemeneti adat nem kerül megfelelően ellenőrzésre használat előtt.
    Ez kihasználható tetszőleges HTML és script kód beszúrására, amely felhasználó böngészőjének munkamenetében kerül lefuttatásra az érintett oldallal kapcsolatosan, amikor a rosszindulatú tartalom megtekintésre kerül.

A sérülékenységeket a 6.x-2.13. megelőző verziókban jelentették.

Megoldás

Frissítsen a 6.x-2.13. vagy későbbi verzióra.