Érintett rendszerek
DrupalHierarchical Select module
Érintett verziók
Drupal Hierarchical Select Module 5.x
Drupal Hierarchical Select Module 6.x
Összefoglaló
A Hierarchical Select module for Drupal olyan sérülékenysége vált ismertté, amelyet rosszindulatú felhasználók kihasználhatnak script beszúrásos támadások kezdeményezésére.
Leírás
Bizonyos nem részletezett bemenetek nem kerülnek megfelelően ellenőrzésre a felhasználó részére történő megjelenítés előtt. Ez kihasználható tetszőleges HTML és script kód beszúrására, amely az érintett oldal felhasználó böngésző munkamenetében kerül lefuttatásra, amikor a rosszindulatú adat megtekintésre kerül.
Sikeres kihasználáshoz szükség van az “administer taxonomy” jogosultságokra.
A sérülékenységet a 6.x-3.2-est és 5.x-3.2-est megelőző verziókban jelentették.
Megoldás
Frissítsen a legújabb verzióraTámadás típusa
Input manipulation (Bemenet módosítás)Szükséges hozzáférés
Remote/Network (Távoli/hálózat)Hivatkozások
Gyártói referencia: drupal.org
SECUNIA 40440