CH azonosító
CH-7693Angol cím
Drupal Commerce extra panes Module Cross-Site Request Forgery VulnerabilityFelfedezés dátuma
2012.10.03.Súlyosság
AlacsonyÉrintett rendszerek
Commerce extra panes ModuleDrupal
Érintett verziók
Drupal Commerce extra panes modul 7.x
Összefoglaló
A Drupal Commerce extra panes bővítmény olyan sérülékenysége vált ismertté, amelyet a támadók kihasználhatnak cross-site request forgery (XSRF/CSRF) támadások kezdeményezésére.
Leírás
Az alkalmazás lehetővé teszi a felhasználóknak bizonyos műveletek elvégzését HTTP kérések segítségével anélkül, hogy ellenőrizné azok érvényességét. Ez kihasználható egy Commerce extra panes tábla ki- és bekapcsolására, amennyiben a bejelentkezett adminisztratív felhasználó meglátogat egy rosszindulatú weboldalt.
A sérülékenységet a 7.x-1.1 megelőző 7.x-1.x verziókban ismerték fel.
Megoldás
Frissítsen a legújabb verzióraTámadás típusa
Input manipulation (Bemenet módosítás)Hatás
Loss of confidentiality (Bizalmasság elvesztése)Loss of integrity (Sértetlenség elvesztése)
Szükséges hozzáférés
Remote/Network (Távoli/hálózat)Hivatkozások
Gyártói referencia: drupal.org
SECUNIA 50802
