CH azonosító
CH-6322Angol cím
Drupal Commerce Module Product Titles and SKUs Two Script Insertion VulnerabilitiesFelfedezés dátuma
2012.01.25.Súlyosság
AlacsonyÖsszefoglaló
A Drupal Commerce modul két sérülékenységét jelentették, melyeket rosszindulatú felhasználók kihasználhatnak script beszúrásos támadások indítására.
Leírás
A termék fejlécekkel és a SKU-kal kapcsolatos bizonyos bemeneteket a smink függvények nem megfelelően ellenőriznek felhasználás előtt. Ez kihasználható tetszőleges HTML és script kódok beszúrására, melyek lefuttatásra kerülnek a felhasználó érintett oldallal kapcsolatos böngésző munkamenetében, a káros adatok megtekintésekor.
A sikeres kihasználás feltétele a termék létrehozási (product creation) jogosultság, valamint a termék (product display) node-oknál az extra mezőknek a megjelenítése (alapértelmezetten rejtett).
A sérülékenységeket a 7.x-1.1. verzióban jelentették.
Megoldás
Frissítsen a legújabb verzióraTámadás típusa
Input manipulation (Bemenet módosítás)Hatás
Loss of confidentiality (Bizalmasság elvesztése)Loss of integrity (Sértetlenség elvesztése)
Szükséges hozzáférés
Remote/Network (Távoli/hálózat)Hivatkozások
Gyártói referencia: drupal.org
Gyártói referencia: drupalcode.org
SECUNIA 47730