CH azonosító
CH-8227Angol cím
Drupal Search API Module Cross-Site Scripting and Script Insertion VulnerabilitiesFelfedezés dátuma
2013.01.10.Súlyosság
AlacsonyÖsszefoglaló
A Drupal Search API bővítmény olyan sérülékenységei váltak ismertté, amelyeket kihasználva a rosszindulatú felhasználók script beszúrásos (script insertion), illetve a támadók cross-site scripting (XSS/CSS) támadásokat tudnak végrehajtani.
Leírás
- A hiba üzenetekhez kapcsolódó egyes bemeneti adatok (például database backend view esetén) nincsenek megfelelően megtisztítva a felhasználónak történő visszaadás előtt. Ez kihasználható tetszőleges HTML és script kód futtatására a felhasználó böngészőjének munkamenetében egy érintett oldallal kapcsolatosan.
- Egyes nem részletezett admin nézeten belüli mező nevekkel kapcsolatos bemeneti adatok nincsenek megfelelően megtisztítva használat előtt. Ez kihasználható tetszőleges HTML és script kód futtatására a felhasználó böngészőjének munkamenetében egy érintett oldallal kapcsolatosan a kártékony adatok megjelenítésekor.
A sérülékenység sikeres kihasználásához a rosszindulatú felhasználónak jogosultsággal kell rendelkeznie indexelt entity típus mezőneveinek megváltoztatásához.
A sérülékenységek a 7.x-1.4 előtti verziókban találhatóak.
Megoldás
Frissítsen a legújabb verzióraTámadás típusa
Input manipulation (Bemenet módosítás)Hatás
Loss of confidentiality (Bizalmasság elvesztése)Loss of integrity (Sértetlenség elvesztése)
Szükséges hozzáférés
Remote/Network (Távoli/hálózat)Hivatkozások
Gyártói referencia: drupal.org
SECUNIA 51806
