Összefoglaló
A Drupal egyik modulja egy olyan sebezhetőséget rejt, amely tetszőleges kódokkal történő visszaélést tehet lehetővé.
Leírás
Ezátal XSS-alapú támadásokhoz járulhat hozzá.
A biztonsági rést a Scheduler modul tartalmazza, amely az egyik szöveges mezőhöz köthető bemeneti paramétert nem ellenőrzi megfelelően, ezért HTML és script kódok injektálására adhat módot.
A sérülékenység kihasználásához “administer scheduler” engedélyre van szükség.
Megoldás
A fejlesztők által kiadott frissítések, javítások telepítése.
Támadás típusa
Cross Site Scripting (XSS/CSS)Hatás
Loss of confidentiality (Bizalmasság elvesztése)Loss of integrity (Sértetlenség elvesztése)
Szükséges hozzáférés
Remote/Network (Távoli/hálózat)Hivatkozások
Gyártói referencia: www.drupal.org