CH azonosító
CH-6768Angol cím
Drupal RealName Module Script Insertion VulnerabilityFelfedezés dátuma
2012.04.25.Súlyosság
AlacsonyÖsszefoglaló
A Drupal RealName modul olyan sérülékenysége vált ismertté, amelyet rosszindulatú felhasználók kihasználhatnak script beszúrásos (script insertion) támadások kezdeményezésére.
Leírás
A felhasználó valódi nevével kapcsolatos bizonyos nem részletezett bemeneti adat nem kerül megfelelően ellenőrzésre, mielőtt a felhasználó részére visszaküldésre kerülne. Ez kihasználható felhasználó böngészőjének munkamenetében történő tetszőleges HTML és script kód futtatására, az érintett oldallal kapcsolatosan, amikor a rosszindulatú adat megtekintésre kerül.
A sérülékenységet a 6.x-1.x. verziótól a 6.x-1.5. megelőző verziókig ismerték fel.
Megoldás
Frissítsen a legújabb verzióraTámadás típusa
Input manipulation (Bemenet módosítás)Hatás
Loss of confidentiality (Bizalmasság elvesztése)Loss of integrity (Sértetlenség elvesztése)
Szükséges hozzáférés
Remote/Network (Távoli/hálózat)Hivatkozások
Gyártói referencia: drupal.org
SECUNIA 48936