Drupal Node Embed Module sérülékenysége


2012. június 7. 10:53

CH azonosító

CH-6958

Angol cím

Drupal Node Embed Module Node Titles Security Bypass Security Issue

Felfedezés dátuma

2012.06.06.

Súlyosság

Alacsony

Érintett rendszerek

Drupal
Node Embed Module

Érintett verziók

Drupal Node Embed Module 6.x, 7.x

Összefoglaló

A Drupal Node Embed moduljának sérülékenységét jelentették, amit rosszindulatú felhasználók kihasználhatnak bizonyos biztonsági szabályok megkerülésére.

Leírás

A sérülékenységet az okozza, hogy a modul nem ellenőrzi az engedélyeket, amikor a Node Embed WYSIWYG editor használatakor a node-ok kiválasztása és beágyazása történik. Ez kihasználható az egyébként nem elérhető node-ok címek felfedésére.

A sikeres kihasználás feltétele nem elérhető node-ok megléte, vagy ha az oldal a tartalom hozzáférés korlátozására node hozzáférés modult használ.

A sérülékenységet a 6.x-1.x verziók 6.x-1.5 előtti és a 7.x-1.x verziók 7.x-1.0 előtti verzióiban jelentették.

Megoldás

Frissítsen a legújabb verzióra

Támadás típusa

Security bypass (Biztonsági szabályok megkerülése)

Hatás

Loss of confidentiality (Bizalmasság elvesztése)

Szükséges hozzáférés

Remote/Network (Távoli/hálózat)

Hivatkozások

Gyártói referencia: drupal.org
SECUNIA 48348

Legfrissebb sérülékenységek
CVE-2024-53104 – Linux Kernel sérülékenysége
CVE-2025-24228 – Apple sebezhetősége
CVE-2025-24097 – Apple sebezhetősége
CVE-2024-20440 – Cisco Smart Licensing Utility sebezhezősége
CVE-2025-1268 – Canon sebezhetősége
CVE-2025-2783 – Google Chromium Mojo Sandbox Escape sebezhetősége
CVE-2024-20439 – Cisco Smart Licensing Utility Static Credential sebezhetősége
CVE-2025-22228 – Spring Security BCryptPasswordEncoder sebezhetősége
CVE-2025-26630 – Microsoft Access RCE sebezhetősége
CVE-2025-30154 – reviewdog/action-setup GitHub Action Embedded Malicious Code sebezhetősége
Tovább a sérülékenységekhez »