Drupal Search API bővítmény sérülékenységek

CH azonosító

CH-8227

Angol cím

Drupal Search API Module Cross-Site Scripting and Script Insertion Vulnerabilities

Felfedezés dátuma

2013.01.10.

Súlyosság

Alacsony

Érintett rendszerek

Drupal
Search API Module

Érintett verziók

Drupal Search API Module 7.x

Összefoglaló

A Drupal Search API bővítmény olyan sérülékenységei váltak ismertté, amelyeket kihasználva a rosszindulatú felhasználók script beszúrásos (script insertion), illetve a támadók cross-site scripting (XSS/CSS) támadásokat tudnak végrehajtani.

Leírás

  1. A hiba üzenetekhez kapcsolódó egyes bemeneti adatok (például database backend view esetén) nincsenek megfelelően megtisztítva a felhasználónak történő visszaadás előtt. Ez kihasználható tetszőleges HTML és script kód futtatására a felhasználó böngészőjének munkamenetében egy érintett oldallal kapcsolatosan.
  2. Egyes nem részletezett admin nézeten belüli mező nevekkel kapcsolatos bemeneti adatok nincsenek megfelelően megtisztítva használat előtt. Ez kihasználható tetszőleges HTML és script kód futtatására a felhasználó böngészőjének munkamenetében egy érintett oldallal kapcsolatosan a kártékony adatok megjelenítésekor.
    A sérülékenység sikeres kihasználásához a rosszindulatú felhasználónak jogosultsággal kell rendelkeznie indexelt entity típus mezőneveinek megváltoztatásához.

A sérülékenységek a 7.x-1.4 előtti verziókban találhatóak.

Megoldás

Frissítsen a legújabb verzióra