Összefoglaló
Több sérülékenységet találtak a Drupal FAQ Ask moduljában, amiket kihasználva rosszindulatú felhasználók script befecskendezéses támadást, valamint támadók cross-site request forgery (XSRF) támadást hajthatnak végre.
Leírás
Több sérülékenységet találtak a Drupal FAQ Ask moduljában, amiket kihasználva rosszindulatú felhasználók script befecskendezéses támadást, valamint támadók cross-site request forgery (XSRF) támadást hajthatnak végre.
- Beazonosítatlan bemenő adatok nincsenek megfelelően megtisztítva, mielőtt a felhasználónál megjelenítésre kerülnének. Ezt kihasználva, tetszőleges HTML és script kódot lehet lefuttatni a felhasználó böngészőjében, az érintett oldal vonatkozásában.
- A modul lehetőséget ad a felhasználóknak arra, hogy bizonyos műveleteket hitelesítés nélkül, HTTP kéréseken keresztül hajtsanak végre. Ezt úgy lehet kihasználni, ha az adminsztrátor meglátogat egy rosszindulatú kódot tartamlazó weboldalt.
A sérülékenységet a 6.x-2.0 előtti kiadásokban találták.
Megoldás
Frissítsen a legújabb verzióraTámadás típusa
Input manipulation (Bemenet módosítás)Hatás
Loss of confidentiality (Bizalmasság elvesztése)Loss of integrity (Sértetlenség elvesztése)
Szükséges hozzáférés
Remote/Network (Távoli/hálózat)Hivatkozások
Gyártói referencia: drupal.org
SECUNIA 37201