Drupal Rotor Banner modul script beszúrás sérülékenységek


2010. május 19. 22:00

CH azonosító

CH-3145

Felfedezés dátuma

2010.05.19.

Súlyosság

Alacsony

Érintett rendszerek

Drupal
Rotor Banner module

Érintett verziók

Drupal Rotor Banner module 5.x 1.0 - 1.7, 6.x 1.0 - 2.4

Összefoglaló

A Drupal Rotor Banner modul olyan sérülékenységeit jelentették, amelyeket kihasználva a rosszindulatú felhasználók script beszúrásos támadásokat hajthatnak végre.

Leírás

A Drupal Rotor Banner modul olyan sérülékenységeit jelentették, amelyeket kihasználva a rosszindulatú felhasználók script beszúrásos támadásokat hajthatnak végre.

Az “srs”, “title” és “alt” paramétereknek átadott bemenet egy rotor elem létrehozása vagy szerkesztése során nincs megfelelően ellenőrizve, mielőtt megjelenítésre kerülne. Ezt kihasználva, tetszőleges HTML és script kódot lehet lefuttatni a felhasználó böngészőjében, az érintett oldal vonatkozásában.

A sérülékenység kihasználásához szükséges a “create rotor item” vagy “edit any rotor item” jogosultság.

Megoldás

Frissítsen a legújabb verzióra

Támadás típusa

Input manipulation (Bemenet módosítás)

Hatás

Loss of confidentiality (Bizalmasság elvesztése)
Loss of integrity (Sértetlenség elvesztése)

Szükséges hozzáférés

Remote/Network (Távoli/hálózat)

Hivatkozások

Gyártói referencia: drupal.org
SECUNIA 39883

Legfrissebb sérülékenységek
CVE-2024-53104 – Linux Kernel sérülékenysége
CVE-2025-31330 – SAP Landscape Transformation sebezhetősége
CVE-2025-27429 – SAP sebezhetősége
CVE-2025-21204 – Windows Process Activation Elevation of Privilege sebezhetősége
CVE-2025-32432 – Craft CMS RCE sebezhetősége
CVE-2025-1976 – Broadcom Brocade Fabric OS Code Injection sebezhetősége
CVE-2025-31324 – SAP NetWeaver sebezhetősége
CVE-2025-24206 – Apple AirPlay sebezhetősége
CVE-2025-24252 – Apple AirPlay sebezhetősége
CVE-2025-2492 – ASUS Router AiCloud sérülékenysége
Tovább a sérülékenységekhez »