CH azonosító
CH-5308Angol cím
Drupal Mail Logger Module Log Output Script Insertion VulnerabilitiesFelfedezés dátuma
2011.08.03.Súlyosság
KözepesÖsszefoglaló
A Drupal Mail Logger Module olyan sérülékenysége vált ismertté, amelyet kihasználva a támadók script beszúrásos (script insertion) támadásokat tudnak végrehajtani.
Leírás
Egyes e-mailek címzett információval, tárggyal, törzzsel kapcsolatos bemeneti adata a kimenő e-mailek logolásakor nincsen megfelelően megtisztítva mielőtt felhasználásra kerülne. Ez kihasználható tetszőleges HTML és script kód beszúrására, ami a felhasználó böngészőjének munkamenetében fut le, az érintett oldallal kapcsolatosan, amikor a kártékony adat megtekintésre kerül.
A sérülékenység a 6.x-1.1-est megelőző verziókban található.
Megoldás
Frissítsen a 6.x-1.1-es verzióra.
Támadás típusa
Input manipulation (Bemenet módosítás)Szükséges hozzáférés
Remote/Network (Távoli/hálózat)Hivatkozások
SECUNIA 45499
Gyártói referencia: drupal.org