Drupal Search API bővítmény sérülékenységek

CH azonosító

CH-8227

Angol cím

Drupal Search API Module Cross-Site Scripting and Script Insertion Vulnerabilities

Felfedezés dátuma

2013.01.10.

Súlyosság

Alacsony

Érintett rendszerek

Drupal
Search API Module

Érintett verziók

Drupal Search API Module 7.x

Összefoglaló

A Drupal Search API bővítmény olyan sérülékenységei váltak ismertté, amelyeket kihasználva a rosszindulatú felhasználók script beszúrásos (script insertion), illetve a támadók cross-site scripting (XSS/CSS) támadásokat tudnak végrehajtani.

Leírás

  1. A hiba üzenetekhez kapcsolódó egyes bemeneti adatok (például database backend view esetén) nincsenek megfelelően megtisztítva a felhasználónak történő visszaadás előtt. Ez kihasználható tetszőleges HTML és script kód futtatására a felhasználó böngészőjének munkamenetében egy érintett oldallal kapcsolatosan.
  2. Egyes nem részletezett admin nézeten belüli mező nevekkel kapcsolatos bemeneti adatok nincsenek megfelelően megtisztítva használat előtt. Ez kihasználható tetszőleges HTML és script kód futtatására a felhasználó böngészőjének munkamenetében egy érintett oldallal kapcsolatosan a kártékony adatok megjelenítésekor.
    A sérülékenység sikeres kihasználásához a rosszindulatú felhasználónak jogosultsággal kell rendelkeznie indexelt entity típus mezőneveinek megváltoztatásához.

A sérülékenységek a 7.x-1.4 előtti verziókban találhatóak.

Megoldás

Frissítsen a legújabb verzióra

Hivatkozások

Gyártói referencia: drupal.org
SECUNIA 51806


Legfrissebb sérülékenységek
CVE-2024-53104 – Linux Kernel sérülékenysége
CVE-2025-9968 – ASUS Armoury Crate sérülékenysége
CVE-2025-9337 – ASUS Armoury Crate sérülékenysége
CVE-2025-9336 – ASUS Armoury Crate sérülékenysége
CVE-2025-47827 – IGEL OS Use of a Key Past its Expiration Date sérülékenysége
CVE-2025-24990 – Microsoft Windows Untrusted Pointer Dereference sérülékenysége
CVE-2025-59230 – Microsoft Windows Improper Access Control sérülékenysége
CVE-2025-6264 – Rapid7 Velociraptor Incorrect Default Permissions sérülékenysége
CVE-2016-7836 – SKYSEA Client View Improper Authentication sérülékenysége
CVE-2025-7330 – Rockwell NAT CSRF sérülékenysége
Tovább a sérülékenységekhez »