CH azonosító
CH-6549Angol cím
Drupal CKEditor / FCKeditor Modules Cross Site Scripting and Code Execution VulnerabilitiesFelfedezés dátuma
2012.03.14.Súlyosság
KözepesÉrintett rendszerek
CKEditor modulDrupal
FCKeditor module
Érintett verziók
Drupal CKEditor Module 6.x
Drupal CKEditor Module 7.x
Drupal FCKeditor Module 6.x
Összefoglaló
A Drupal CKEditor és FCKeditor modulok olyan sérülékenységei váltak ismertté, amelyeket rosszindulatú felhasználók kihasználhatnak a sérülékeny rendszer feltörésére és a támadók cross-site scripting (XSS/CSS) támadások kezdeményezésére.
Leírás
- Bizonyos bemeneti adat a tartalom szerkesztésekor nem kerül megfelelően ellenőrzésre, mielőtt a felhasználó részére visszaküldésre kerülne. Ez kihasználható tetszőleges HTML és script kód futtatására a felhasználó böngészőjének munkamenetében, az érintett oldallal kapcsolatosan.
- Bizonyos nem részletezett bemeneti adat nem kerül megfelelően ellenőrzésre, mielőtt felhasználásra kerülne, ez kihasználható tetszőleges PHP kód futtatására.
Megjegyzés: A sérülékenység sikeres kihasználásához az FCKeditor 6.x.verzió esetében szükség van az “access fckeditor” és a CKEditor 6.x. verzió esetében az “access ckeditor” jogosultságokra.
A sérülékenységeket az FCKeditor modul 6.x-2.x., 6.x-2.3. megelőző és a CKEditor modul 6.x-1.x.,6.x-1.9. megelőző és 7.x-1.x., 7.x-1.7. megelőző verziókban jelentették.
Megoldás
Frissítsen a legújabb verzióraTámadás típusa
Input manipulation (Bemenet módosítás)Hatás
Loss of confidentiality (Bizalmasság elvesztése)Loss of integrity (Sértetlenség elvesztése)
Szükséges hozzáférés
Remote/Network (Távoli/hálózat)Hivatkozások
Gyártói referencia: drupal.org
SECUNIA 48435