CH azonosító
CH-4302Angol cím
Drupal Flag Page Module Script Insertion VulnerabilityFelfedezés dátuma
2011.02.02.Súlyosság
AlacsonyÖsszefoglaló
A Drupal Flag Page modul olyan sérülékenysége vált ismertté, amelyet rosszindulatú helyi felhasználók kihasználhatnak script beszúrásos (script injection) támadások okozására.
Leírás
A flag címkével átadott bemeneti adat – amikor a flag-ek létrehozása vagy szerkesztése történik – felhasználása előtt nem kerül megfelelően ellenőrzésre. Ez kihasználható tetszőleges HTML és script kód beszúrására, amely a felhasználó böngészőjének munkamenetében kerül lefuttatásra az érintett oldal, amikor a káros tartalom megtekintésre kerül.
A sérülékenység sikeres kihasználásához “administer flags” jogosultság szükséges.
A sérülékenységet a 6.x-1.3-ast és a 6.x-2.2-est megelőző verziókban jelentették.
Megoldás
Frissítsen a 6.x-1.3 vagy későbbi, vagy a 6.x-2.2 vagy későbbi verzióra.
Támadás típusa
Input manipulation (Bemenet módosítás)Hatás
Loss of confidentiality (Bizalmasság elvesztése)Loss of integrity (Sértetlenség elvesztése)
Szükséges hozzáférés
Remote/Network (Távoli/hálózat)Hivatkozások
Gyártói referencia: drupal.org
SECUNIA 43182