Drupal Project Issue File Review modul Script beszúrásos sérülékenységek

CH azonosító

CH-10666

Angol cím

Drupal Project Issue File Review Module Two Script Insertion Vulnerabilities

Felfedezés dátuma

2014.03.03.

Súlyosság

Alacsony

Érintett rendszerek

Drupal

Érintett verziók

Drupal Project Issue File Review Module 6.x

Összefoglaló

A Drupal Project Issue File Review moduljának két sérülékenysége vált ismertté, amelyeket kihasználva a rosszindulatú felhasználók script beszúrásos támadásokat hajthatnak végre.

Leírás

 

  1. Bizonyos nem részletezett bemeneti adat nincs megfelelően megtisztítva mielőtt felhasználásra kerülne. Ez kihasználható tetszőleges HTML és script kód beszúrására, amely a felhasználó böngészőjének munkamenetében fog lefutni, az érintett oldallal kapcsolatban, a káros tartalom megtekintése közben.
    A sérülékenység sikeres kihasználása “manage PIFR environments” jogosultságot igényel.
  2. Bizonyos nem részletezett bemeneti adat, a PIFR környezethez történő javítás beküldéskor, nincs megfelelően megtisztítva, mielőtt felhasználásra kerülne. Ez kihasználható tetszőleges HTML és script kód beszúrására, amely a felhasználó böngészőjének munkamenetében fog lefutni, az érintett oldallal kapcsolatban, a káros tartalom megtekintése közben.
    A sérülékenység sikeres kihasználása feltételezi, hogy a javítások (patch) tesztelése sikeresen fut.

 

A sérülékenységeket a 6.x-2.17 előtti 6.x-2.x verziókban jelentették.

Megoldás

Frissítsen a legújabb verzióra