Összefoglaló
Egy sérülékenységet találtak a Drupal Protected node moduljában, amit kihasználva, rosszindulatú felhasználók script befecskendezéses támadást indíthatnak.
Leírás
Egy sérülékenységet találtak a Drupal Protected node moduljában, amit kihasználva, rosszindulatú felhasználók script befecskendezéses támadást indíthatnak.
Az index.php-ban lévő “protected_node_info” paraméternek átadott adat nincs megfelelően ellenőrizve felhasználás előtt. Ezt kihasználva, tetszőleges HTML és script kódot lehet befecskendezni, majd azt a felhasználó böngészőjében lefuttatni az érintett oldal vonatkozásában, amikor egy rosszindulatú weboldalt tölt be a böngésző.
A hiba sikeres kihasználásához “administer site configuration” jogosultság szükséges.
A sérülékenységet az 5.x-1.3 verzióban találták, de egyéb kiadások is érintve lehetnek.
Megoldás
Frissítsen a legújabb verzióraTámadás típusa
Input manipulation (Bemenet módosítás)Hatás
Loss of confidentiality (Bizalmasság elvesztése)Loss of integrity (Sértetlenség elvesztése)
Szükséges hozzáférés
Remote/Network (Távoli/hálózat)Hivatkozások
SECUNIA 34060
Egyéb referencia: lampsecurity.org
CVE-2009-0817 - NVD CVE-2009-0817