Összefoglaló
A Drupal Link To Us moduljának egy sérülékenységét jelentették, melyet kihasználva rosszindulatú felhasználók script beszúrásos támadást indíthatnak.
Leírás
A Drupal Link To Us moduljának egy sérülékenységét jelentették, melyet kihasználva rosszindulatú felhasználók script beszúrásos támadást indíthatnak.
Az Administer->Site Configuration->Link to Us oldalon a “Link page header” (Link oldal fejléc) adatmezőhöz rendelt bemenet nincs megfelelően ellenőrizve tárolás előtt. A sérülékenység kihasználható tetszőleges HTML és script kód beszúrására, mely kód felhasználó böngészőjében fut le egy érintett oldallal kapcsolatosan, mikor a rosszindulatú adatot megnézi a “Share this page”-re kattintva.
A sikeres kihasználáshoz érvényes felhasználói bizonyítványok szükségesek.
Megoldás
Frissítsen a legújabb verzióraTámadás típusa
Input manipulation (Bemenet módosítás)Hatás
Loss of confidentiality (Bizalmasság elvesztése)Loss of integrity (Sértetlenség elvesztése)
Szükséges hozzáférés
Remote/Network (Távoli/hálózat)Hivatkozások
SECUNIA 31914
Egyéb referencia: lists.grok.org.uk
Gyártói referencia: drupal.org
CVE-2008-4149 - NVD CVE-2008-4149