Összefoglaló
Biztonsági problémákat jelentettek a Drupal Entity API moduljával kapcsolatban.
Leírás
Biztonsági problémát jelentettek a Drupal Entity API moduljával kapcsolatban, amelyet kihasználva a rosszindulatú felhasználók megkerülhetnek bizonyos biztonsági szabályokat.
- Az entitás hozzáférési API nem megfelelően korlátozza a hozzáférést a megjegyzés, a felhasználó és a csomópont statisztika tulajdonságaihoz, ami kihasználható bizonyos statisztikákhoz történő hozzáféréshez.
- Az entitás hozzáférési API nem megfelelően korlátozza a hozzáférést a hivatkozó entitásokhoz, ami kihasználható pl. taxonómiai kifejezések felfedéséhez.
- Egy további hiba oka, hogy az “entity_access ()” függvény nem megfelelően korlátozza a hozzáférést a nem publikált megjegyzésekhez.
A sérülékenység sikeres kihasználásához szükséges, hogy egy másik modul az entitás hozzáférési API-t használja a korlátozott információk eléréshez.
A sérülékenységek a 7.x-1.x előtti verziókat érintik.
Megoldás
Frissítsen a 7.x-1.3-as verzióra.
Támadás típusa
System access (Rendszer hozzáférés)Hatás
Loss of confidentiality (Bizalmasság elvesztése)Szükséges hozzáférés
Remote/Network (Távoli/hálózat)Hivatkozások
SECUNIA 55968
CVE-2014-1398 - NVD CVE-2014-1398
CVE-2014-1399 - NVD CVE-2014-1399
CVE-2014-1400 - NVD CVE-2014-1400