Drupal frissítés


2015. június 18. 07:22

CH azonosító

CH-12344

Angol cím

Drupal update

Felfedezés dátuma

2015.06.17.

Súlyosság

Magas

Érintett rendszerek

Drupal

Érintett verziók

Drupal 6.x
Drupal 7.x

Összefoglaló

A Drupal több sebezhetőségre adott ki javítást, amelyeket elsősorban jogosultságszerzésre, illetéktelen hozzáférésre, adatlopásra lehet kihasználni.

Leírás

A fejlesztők az alábbi összetevők kapcsán szüntettek meg biztonsági réseket:
– OpenID modul
– Field UI modul (Durpal 7) – a destinations paraméter nem megfelelő kezelése
– Overlay modul (Drupal 7)
– Render cache system (Drupal 7).

A fenti sebezhetőségek között akad olyan is, amely rendszergazdai hozzáférést biztosíthat az elkövetők számára.

Megoldás

A Drupal 6.36 vagy 7.38 verzióinak használata.

Támadás típusa

Information disclosure (Információ/adat szivárgás)
Privilege escalation (jogosultság kiterjesztés)
System access (Rendszer hozzáférés)

Hatás

Loss of confidentiality (Bizalmasság elvesztése)
Loss of integrity (Sértetlenség elvesztése)

Szükséges hozzáférés

Remote/Network (Távoli/hálózat)

Hivatkozások

Egyéb referencia: isbk.hu
Gyártói referencia: www.drupal.org
CVE-2015-3231 - NVD CVE-2015-3231
CVE-2015-3232 - NVD CVE-2015-3232
CVE-2015-3233 - NVD CVE-2015-3233
CVE-2015-3234 - NVD CVE-2015-3234

Legfrissebb sérülékenységek
CVE-2024-53104 – Linux Kernel sérülékenysége
CVE-2025-31201 – Apple Pointer Authentication sérülékenysége
CVE-2025-20236 – Cisco Webex App sebezhetősége
CVE-2017-5754 – Linux Kernel sebezhetősége
CVE-2014-0160 – OpenSSL Information Disclosure sebezhetősége
CVE-2025-23010 – SonicWall NetExtender Improper Link Resolution Before File Access ('Link Following') sebezhetősége
CVE-2025-23009 – SonicWall NetExtender Local Privilege Escalation sebezhetősége
CVE-2025-23008 – SonicWall NetExtender Improper Privilege Management sebezhetősége
CVE-2024-0132 – NVIDIA Container Toolkit sérülékenysége
CVE-2025-3102 – SureTriggers sérülékenysége
Tovább a sérülékenységekhez »