Érintett rendszerek
DrupalLocalization client module
Érintett verziók
Drupal Localization client module 5.x, 6.x
Összefoglaló
Egy sérülékenységet találtak a Drupal Localization client module-ban, amit kihasználva, rosszindulatú felhasználók script beszúrásos támadást indíthatnak.
Leírás
Egy sérülékenységet találtak a Drupal Localization client module-ban, amit kihasználva, rosszindulatú felhasználók script beszúrásos támadást indíthatnak.
A fordítható szövegek nincsnek megfelelően ellenőrizve, mielőtt a rendszer feldolgozná azokat. Ezt kihasználva, tetszőleges HTML és script kódot lehet befecskendezni, ami a felhasználó böngészőjében fut le, az érintett oldallal kapcsolatban, ha a rosszindulatú adat lefordításra kerül.
A sérülékenységet az 5.x sorozatban az 5.x-1.2 előtti, a 6.x sorozatban a 6.x-1.7 előtti kiadásokban találták.
Megoldás
Frissítsen a legújabb verzióraTámadás típusa
Input manipulation (Bemenet módosítás)Hatás
Loss of confidentiality (Bizalmasság elvesztése)Loss of integrity (Sértetlenség elvesztése)
Szükséges hozzáférés
Remote/Network (Távoli/hálózat)Hivatkozások
Gyártói referencia: drupal.org
SECUNIA 34718