CH azonosító
CH-8016Angol cím
Drupal Mixpanel Module Token Script Insertion VulnerabilityFelfedezés dátuma
2012.11.28.Súlyosság
AlacsonyÖsszefoglaló
A Drupal Mixpanel bővítmény egy sérülékenységét jelentették, amit kihasználva a rosszindulatú felhasználók script beszúrásos (script insertion) támadást indíthatnak.
Leírás
A Mixpanel token részére átadott bemeneti adat – amikor egy oldalhoz nyomkövető Javascript kódot adnak hozzá – nem megfelelően van megtisztítva a felhasználónak való visszaadás előtt. Ezt kihasználva, tetszőleges HTML és script kódot lehet futtatni a felhasználó böngészőjének munkamenetében az érintett oldal vonatkozásában.
A sérülékenység sikeres kihasználásához az “access administration pages” jogosultság szükséges.
A sérülékenységet a 6.x-1.1 előtti 6.x-1.x verziókban jelentették.
Támadás típusa
Input manipulation (Bemenet módosítás)Hatás
Loss of confidentiality (Bizalmasság elvesztése)Loss of integrity (Sértetlenség elvesztése)
Szükséges hozzáférés
Remote/Network (Távoli/hálózat)Hivatkozások
Gyártói referencia: drupal.org
SECUNIA 51402