Drupal Data modul cím script beszúrás sérülékenység

2012. március 8. 10:43

CH azonosító

CH-6501

Angol cím

Drupal Data Module Title Script Insertion Vulnerability

Felfedezés dátuma

2012.03.07.

Súlyosság

Alacsony

Érintett rendszerek

Date module
Drupal

Érintett verziók

Drupal Data Module 6.x

Összefoglaló

A Drupal Data modul olyan sérülékenysége vált ismertté, amelyet a rosszindulatú felhasználók kihasználhatnak script beszúrásos (script insertion) támadások kezdeményezésére.

Leírás

A címmel átadott bemeneti adat, amikor egy új tábla létrehozása történik, nem kerül megfelelően ellenőrzésre mielőtt az felhasználásra kerülne. Ez kihasználható tetszőleges HTML és script kód beszúrására, amely az érintett oldallal kapcsolatosan a felhasználói böngészőjének munkamenetében kerül lefuttatásra, amikor a rosszindulatú adat megtekintésre kerül.

A sérülékenység sikeres kihasználásának feltétele a “administer data tables” jogosultság.

A sérülékenységet a 6.x-1.1. megelőző verziókban ismerték fel.

Legfrissebb sérülékenységek

CVE-2023-25859 – Adobe Illustrator sérülékenysége

CVE-2023-25860 – Adobe Illustrator sérülékenysége

CVE-2023-25861 – Adobe Illustrator sérülékenysége

CVE-2023-26358 – Adobe Creative Cloud sérülékenysége

CVE-2023-26426 – Adobe Illustrator sérülékenysége

CVE-2023-27855 – Rockwell Automation's ThinManager ThinServer sérülékenysége

CVE-2023-1256 – aveva / telemetry server, aveva / aveva plant scada sérülékenysége

CVE-2023-28100 – Flatpak sérülékenysége

CVE-2022-38063 – social login wp project / social login wp sérülékenysége

CVE-2023-25280 – dlink / dir820la1 firmware sérülékenysége

Tovább a sérülékenységekhez »

Drupal Data modul cím script beszúrás sérülékenység