CH azonosító
CH-12039Angol cím
Drupal vulnerabilityFelfedezés dátuma
2015.03.02.Súlyosság
KözepesÉrintett rendszerek
DrupalGlobal Redirect Module
Érintett verziók
Global Redirect 6.x-1.x - 6.x-1.4
Global Redirect 7.x-1.x - 7.x-1.4
Összefoglaló
A Drupal esetében használható Global Redirect modul nemkívánatos webes átirányításokat tehet lehetővé. Ennek kihasználásával a támadók a felhasználókat tetszőleges weblapokra irányíthatják át.
Leírás
A sebezhetőséget az okozza, hogy a modul esetenként nem ellenőrzi megfelelően a bemeneti paramétereket. Ez pedig speciálisan szerkesztett URL-ek révén adathalász vagy egyéb kártékony célokat szolgáló weboldalakra történő átirányítást eredményezhet.
Megoldás
A fejlesztők által kiadott hibajavítások telepítése.
Támadás típusa
Input ValidationManipulation of data
Security bypass (Biztonsági szabályok megkerülése)
Hatás
Loss of confidentiality (Bizalmasság elvesztése)Loss of integrity (Sértetlenség elvesztése)
Szükséges hozzáférés
Remote/Network (Távoli/hálózat)Hivatkozások
Gyártói referencia: www.drupal.org
Egyéb referencia: isbk.hu
CVE-2014-9644 - NVD CVE-2014-9644
CVE-2015-0239 - NVD CVE-2015-0239