Összefoglaló
Több sérülékenységet és gyengeséget fedeztek fel a Drupalban.
Leírás
Több sérülékenységet és gyengeséget fedeztek fel a Drupalban.
-
A Drupal 6.x Content Translation modulja lehetővé teszi a felhasználóknak, hogy elkészítsék egy már meglévő node fordítását. A folyamat végrehajtása során a meglévő node tartalma egy új node submission űrlapra kerül.
A modul egy hibája lehetővé teszi a “translate content” joggal rendelkező felhasználóknak, hogy megkerüljék a hozzáférési jogosultságokat, pl. megnézzenek egy ki nem adott fordítást úgy, hogy nincs joguk hozzá.Ez a hiba csak a Drupal 6-ot érinti.
-
Amikor a felhasználó profilban engedélyezve vannak a képek, az alapértelmezett profil jóváhagyási funkció megkerülhető, lehetővé téve, hogy érvénytelen név vagy email cím legyen megadva.
Ez a hiba csak a Drupal 6-ot érinti.
-
Egy paraméter továbbítása a node access API-nak nincs megfelelően ellenőrizve, mielőtt SQL lekérdezésben használnák. Bár a Drupal core nem teszi lehetővé az SQL befecskendezést, egyéb modulok használatakor fönnálhat a veszély. További ellenőrzések lettek beiktatva a probléma elekrülése érdekében.
Ez a hiba a Drupal 5-öt és Drupal 6-ot is érinti.
Megoldás
Frissítsen a legújabb verzióraTámadás típusa
Input manipulation (Bemenet módosítás)Other (Egyéb)
Hatás
Loss of confidentiality (Bizalmasság elvesztése)Loss of integrity (Sértetlenség elvesztése)
Szükséges hozzáférés
Remote/Network (Távoli/hálózat)Hivatkozások
Gyártói referencia: drupal.org