Drupal Date modul Event Node konverzió SQL befecskendezés sérülékenység

2012. január 13. 08:24

CH azonosító

CH-6229

Angol cím

Drupal Date Module Event Node Conversion SQL Injection Vulnerability

Felfedezés dátuma

2012.01.11.

Súlyosság

Közepes

Érintett rendszerek

Date module
Drupal

Érintett verziók

Drupal Date module 6.x 1.0 - 2.7

Összefoglaló

A Drupal Date moduljának sérülékenysége vált ismertté, amelyet kihasználva a rosszindulatú felhasználók SQL befecskendezéses támadásokat hajthatnak végre.

Leírás

Az Event modullal készített csomópontok (node) dátum mezőkké konvertálásakor bizonyos bemeneti adat nincs megfelelően megtisztítva, mielőtt SQL lekérdezésekben használnák. Ezt kihasználva az SQL lekérdezések tetszőleges kód beszúrásával manipulálhatók.

A sérülékenység sikeres kihasználása “administer Date Tools” jogosultságot igényel, és az “Event” tábla létezését az adatbázisban.

Legfrissebb sérülékenységek

CVE-2026-20127 – Cisco Catalyst SD-WAN Controller and Manager Authentication Bypass sérülékenység

CVE-2022-20775 – Cisco SD-WAN Path Traversal sérülékenység

CVE-2026-21241 – Windows Ancillary Function Driver for WinSock Elevation of Privilege sérülékenység

CVE-2025-40540 – SolarWinds Serv-U Type Confusion Remote Code Execution sérülékenység

CVE-2025-40539 – SolarWinds Serv-U Type Confusion Remote Code Execution sérülékenysége

CVE-2025-40538 – SolarWinds Serv-U Broken Access Control Remote Code Execution sérülékenysége

CVE-2026-25108 – Soliton Systems K.K FileZen OS Command Injection sérülékenység

CVE-2025-68461 – RoundCube Webmail Cross-site Scripting sérülékenység

CVE-2026-22769 – Dell RecoverPoint for Virtual Machines (RP4VMs) Use of Hard-coded Credentials sérülékenység

CVE-2021-22175 – GitLab Server-Side Request Forgery (SSRF) sérülékenység

Tovább a sérülékenységekhez »

Drupal Date modul Event Node konverzió SQL befecskendezés sérülékenység