Érintett rendszerek
DrupalOrganic groups module
Érintett verziók
Drupal Organic groups module 5.x, 6.x
Összefoglaló
A Drupal Organic groups moduljának néhány sérülékenységét jelentették, melyet rosszindulatú felhasználók érzékeny információk kiszivárogtatására vagy script beszúrásos támadásokra használhatnak ki.
Leírás
A Drupal Organic groups moduljának néhány sérülékenységét jelentették, melyet rosszindulatú felhasználók érzékeny információk kiszivárogtatására vagy script beszúrásos támadásokra használhatnak ki.
- Bizonyos meghatározatlan bemenet, mikor egy csoportban beszélgetés kezdődik nincs megfelelően ellenőrizve használat előtt. Ez kihasználható tetszőleges HTML és script kód beszúrására, amely a felhasználó böngészőjében fut le az érintett oldallal kapcsolatosan.
A sikeres kihasználáshoz szükséges, hogy a megtévesztett felhasználó például csatlakozzon egy rosszindulatú csoporthoz és beszélgetést kezdjen.
- Lehetséges a privát csoportok címének megtekintése, ha az OG Access Module engedélyezve van és az oldal használja a privát csoportok opciót.
A sérülékenységeket az 5.x-7.3 és 6.x-1.0-RC1 előtti verziókban jelentették.
Megoldás
Frissítsen a legújabb verzióraTámadás típusa
Information disclosure (Információ/adat szivárgás)Input manipulation (Bemenet módosítás)
Hatás
Loss of availability (Elérhetőség elvesztése)Loss of confidentiality (Bizalmasság elvesztése)
Loss of integrity (Sértetlenség elvesztése)
Szükséges hozzáférés
Remote/Network (Távoli/hálózat)Hivatkozások
SECUNIA 30928
Gyártói referencia: drupal.org
CVE-2008-3094 - NVD CVE-2008-3094
CVE-2008-3095 - NVD CVE-2008-3095