Drupal News Page Module “keywords” SQL befecskendezés

CH azonosító

CH-2151

Felfedezés dátuma

2009.04.29.

Súlyosság

Közepes

Érintett rendszerek

Drupal
News Page module

Érintett verziók

Drupal News Page module 5.x

Összefoglaló

Egy sérülékenységet jelentettek a Drupal News Page moduljában, amelyet kihasználva rosszindulatú felhasználók SQL befecskendezéses támadásokat indíthatnak.

Leírás

Egy sérülékenységet jelentettek a Drupal News Page moduljában, amelyet kihasználva rosszindulatú felhasználók SQL befecskendezéses támadásokat indíthatnak.

A kulcsszavakhoz tartozó adatbevitel nincs megfelelően megtisztítva mielőtt SQL lekérdezésekben használnák. Ez kihasználható az SQL lekérdezések módosítására tetszőleges kód befecskendezésével.

A sikeres kihasználáshoz News Page node létrehozásához és szerkesztéséhez való jogosultság szükséges.

A sérülékenységet az 5.x, 5.x-1.2-t megelőző verziókban jelentették.

Megoldás

Frissítsen a legújabb verzióra