Összefoglaló
A Drupal Dashboard modul olyan sérülékenysége vált ismertté, amelyet rosszindulatú felhasználók kihasználhatnak script beszúrásos támadások kezdeményezésére.
Leírás
Az alapértelmezett widgetekhez társított “tags” és “titles” paramétereken keresztül átadott bemenet az áttekintő oldal (dashboard) létrehozásakor nincs megfelelően ellenőrizve, mielőtt felhasználnák. Ez kihasználható tetszőleges HTML és script kód beszúrására, ami a felhasználó böngészőjének munkamenetében az érintett oldallal kapcsolatosan fut le a rosszindulatú adat megtekintésekor.
A sérülékenység sikeres kihasználáshoz “administer dashboard defaults” jogosultságok szükségesek.
A sérülékenységet a 6.x-2.1-est megelőző verziókban jelentették.
Megoldás
Frissítsen a legújabb verzióraTámadás típusa
Input manipulation (Bemenet módosítás)Hatás
Loss of confidentiality (Bizalmasság elvesztése)Loss of integrity (Sértetlenség elvesztése)
Szükséges hozzáférés
Remote/Network (Távoli/hálózat)Hivatkozások
Gyártói referencia: drupal.org
SECUNIA 40776