Drupal cross-site scripting és script beszúrásos sérülékenységei

CH azonosító

CH-4962

Angol cím

Drupal Cross-Site Scripting and Script Insertion Vulnerabilities

Felfedezés dátuma

2011.05.26.

Súlyosság

Alacsony

Érintett rendszerek

Drupal

Érintett verziók

Drupal 6.x

Összefoglaló

A Drupal két olyan sérülékenységét jelentették, amelyeket rosszindulatú felhasználók kihasználhatnak script beszúrásos (script insertion) támadásokra, a támadók pedig cross-site scripting (XSS/CSS) támadásokat indíthatnak.

Leírás

  1. A Drupal hibakezelő (error handler) az URL-en keresztül átadott bemeneti adatot nem megfelelően ellenőrzi, mielőtt azt visszaadná a felhasználónak. Ez kihasználható tetszőleges HTML és script kód futtatására a felhasználó böngészőjének munkamenetében, az érintett oldallal kapcsolatosan.
    A sérülékenység sikeresen kihasználható, ha az on-screen error display (képernyőn történő hiba megjelenítés) engedélyezett az admin/settings/error-reporting -ban.
  2. Az index.php színtáblázat értékeiben megadott bemeneti adatok (például a “palette[bg]”, “palette[text]”, “palette[sideborders]”, “palette[footer]” és “palette[titleslogan]”) a színtáblázat váltásakor nincsenek megfelelően ellenőrizve (a “q” “admin/appearance/settings/bartik” érték beállítása esetén), mielőtt a stílus lapon felhasználnák azokat. Ez kihasználható tetszőleges CSS és script kód beszúrására és lefuttatásra a felhasználó böngészőjének munkamenetében, az érintett oldallal kapcsolatosan, amikor a rosszindulatú adat megtekintésre kerül.
    A sérülékenység a sikeres kihasználásához “Administer themes” jogosultságok szükségesek, valamint olyan böngésző használata, ami bizonyos JavaScript utasításokat CSS fájlokból futtat (például Internet Explorer 6).

A sérülékenységeket a 6.20 verzióban jelentették. Más verziók is érintettek lehetnek.

Megoldás

Frissítsen a legújabb verzióra