Drupal CKEditor / FCKeditor modulok cross site scripting és kódfuttatás sérülékenységek

CH azonosító

CH-6549

Angol cím

Drupal CKEditor / FCKeditor Modules Cross Site Scripting and Code Execution Vulnerabilities

Felfedezés dátuma

2012.03.14.

Súlyosság

Közepes

Érintett rendszerek

CKEditor modul
Drupal
FCKeditor module

Érintett verziók

Drupal CKEditor Module 6.x
Drupal CKEditor Module 7.x
Drupal FCKeditor Module 6.x

Összefoglaló

A Drupal CKEditor és FCKeditor modulok olyan sérülékenységei váltak ismertté, amelyeket rosszindulatú felhasználók kihasználhatnak a sérülékeny rendszer feltörésére és a támadók cross-site scripting (XSS/CSS) támadások kezdeményezésére.

Leírás

  1. Bizonyos bemeneti adat a tartalom szerkesztésekor nem kerül megfelelően ellenőrzésre, mielőtt a felhasználó részére visszaküldésre kerülne. Ez kihasználható tetszőleges HTML és script kód futtatására a felhasználó böngészőjének munkamenetében, az érintett oldallal kapcsolatosan.
  2. Bizonyos nem részletezett bemeneti adat nem kerül megfelelően ellenőrzésre, mielőtt felhasználásra kerülne, ez kihasználható tetszőleges PHP kód futtatására.

Megjegyzés: A sérülékenység sikeres kihasználásához az FCKeditor 6.x.verzió esetében szükség van az “access fckeditor” és a CKEditor 6.x. verzió esetében az “access ckeditor” jogosultságokra.

A sérülékenységeket az FCKeditor modul 6.x-2.x., 6.x-2.3. megelőző és a CKEditor modul 6.x-1.x.,6.x-1.9. megelőző és 7.x-1.x., 7.x-1.7. megelőző verziókban jelentették.

Megoldás

Frissítsen a legújabb verzióra