CH azonosító
CH-8591Angol cím
Drupal Premium Responsive Theme 3 Slide Gallery Script Insertion VulnerabilityFelfedezés dátuma
2013.02.27.Súlyosság
AlacsonyÉrintett rendszerek
DrupalPremium Responsive Theme
Érintett verziók
Drupal Premium Responsive Theme 7.x
Összefoglaló
A Premium Responsive theme for Drupal olyan sérülékenysége vált ismertté, amelyet a rosszindulatú felhasználók kihasználhatnak script beszúrásos (script insertion) támadások kezdeményezésére.
Leírás
A 3 slide gallery-vel kapcsolatos bizonyos nem részletezett bemeneti adat nincs megfelelően megtisztítva, mielőtt felhasználásra kerülne. Ezt kihasználva, tetszőleges HTML és script kódot lehet futtatni a felhasználó böngészőjének munkamenetében az érintett oldal vonatkozásában, amikor a rosszindulatú adat megtekintésre kerül.
A sérülékenység “administer themes” jogosultsággal használható ki.
A sérülékenységet a 7.x-1.6 előtti verziókban ismerték fel.
Megoldás
Frissítsen a legújabb verzióraTámadás típusa
Input manipulation (Bemenet módosítás)Szükséges hozzáférés
Remote/Network (Távoli/hálózat)Hivatkozások
Gyártói referencia: drupal.org
SECUNIA 52426
CVE-2013-1785 - NVD CVE-2013-1785