Drupal sérülékenységek

CH azonosító

CH-13579

Angol cím

Drupal vulnerabilities

Felfedezés dátuma

2016.09.22.

Súlyosság

Magas

Érintett rendszerek

Drupal

Érintett verziók

8.1.10 előtti verziók.

Összefoglaló

A Drupal esetében MAGAS kockázati besorolású sérülékenységek váltak ismertté, amelyeket kihasználva a rosszindulatú távoli felhasználók képesek lehetnek tetszőleges kódot futtatni a site-ot meglátogatók böngészőjében, illetve hozzáférni az oldal konfigurációs állományaihoz. A sérülékenységeket kiküszöbölő megoldás már beszerezhető a gyártótól.

Leírás

A felfedezett biztonsági hibák:

  • Azon felhasználók, akiknek joguk van szerkeszteni egy node-ot, beállíthatják a kommentek láthatóságát, annak ellenére, hogy ez admin jogosultsághoz kötött.
  • Egy nem megfelelő HTTP kivételkezelés miatt a támadók XSS (Cross-site Scripting) támadást képesek végrehajtani: egy speciálisan szerkesztett url segítségével tetszőleges kódot képesek futtatni az áldozat böngészőjében.
  • Továbbá a site teljes konfigurációja letölthető admin jogosultság nélkül.

Megoldás

Frissítsen a legutóbbi (8.1.10) verzióra.


Legfrissebb sérülékenységek
CVE-2024-53104 – Linux Kernel sérülékenysége
CVE-2014-3931 – Multi-Router Looking Glass (MRLG) Buffer Overflow sérülékenysége
CVE-2016-10033 – PHPMailer Command Injection sérülékenysége
CVE-2019-5418 – Rails Ruby on Rails Path Traversal sérülékenysége
CVE-2019-9621 – Synacor Zimbra Collaboration Suite (ZCS) Server-Side Request Forgery (SSRF) sérülékenysége
CVE-2016-4484 – Linux sérülékenység
CVE-2025-32463 – Linux sérülékenység
CVE-2025-32462 – Linux sérülékenység
CVE-2025-6463 – Wordpress sérülékenység
CVE-2024-51978 – Brother sérülékenység
Tovább a sérülékenységekhez »