CH azonosító
CH-4303Angol cím
Drupal Droptor Module SQL Injection VulnerabilityFelfedezés dátuma
2011.02.02.Súlyosság
KözepesÖsszefoglaló
A Drupal Droptor modul olyan sérülékenysége vált ismertté, amelyet rosszindulatú felhasználók kihasználhatnak script beszúrásos (script injection) támadások okozására.
Leírás
A URL-nek átadott bemeneti adat az SQL lekérdezésekben történő felhasználása előtt nem kerül megfelelően ellenőrzésre. Ez kihasználható tetszőleges SQL kód befecskendezésével az SQL lekérdezések manipulálására.
A sérülékenység sikeres kihasználásához a „memory monitoring” opciónak bekapcsolt állapotban kell lennie.
A sérülékenységet a 6.x-2.8-ast megelőző verziókban jelentették.
Megoldás
Frissítsen a 6.x-2.8 vagy későbbi verzióra.
Támadás típusa
Input manipulation (Bemenet módosítás)Hatás
Loss of confidentiality (Bizalmasság elvesztése)Loss of integrity (Sértetlenség elvesztése)
Szükséges hozzáférés
Remote/Network (Távoli/hálózat)Hivatkozások
Gyártói referencia: drupal.org
SECUNIA 43179
