CH azonosító
CH-6965Angol cím
Drupal Protest Module "protest_body" Script Insertion VulnerabilityFelfedezés dátuma
2012.06.07.Súlyosság
AlacsonyÖsszefoglaló
A Drupal Protest moduljának olyan sérülékenységét jelentették, amelyet a rosszindulatú felhasználók kihasználva script beszúrásos (script insertion) támadásokat hajthatnak végre.
Leírás
A “protest_body” paraméter által átadott bemeneti adat egy protest üzenet létrehozásakor nincs megfelelően megtisztítva, mielőtt felhasználásra kerülne. Ezt kihasználva, tetszőleges HTML illetve script kódot lehetséges a felhasználó munkamenetébe beilleszteni és lefuttatni, a kártékony adatok megtekintésekor.
A sérülékenység sikeres kihasználásához szükséges az “administer protest” jogosultság.
A sérülékenységet a 6.x-1.2 és 7.x-1.2 előtti verziókban jelentették.
Megoldás
Frissítsen a legújabb verzióraTámadás típusa
Input manipulation (Bemenet módosítás)Hatás
Loss of confidentiality (Bizalmasság elvesztése)Loss of integrity (Sértetlenség elvesztése)
Szükséges hozzáférés
Remote/Network (Távoli/hálózat)Hivatkozások
SECUNIA 49386
Gyártói referencia: drupal.org
