Drupal sérülékenységek

CH azonosító

CH-13579

Angol cím

Drupal vulnerabilities

Felfedezés dátuma

2016.09.22.

Súlyosság

Magas

Érintett rendszerek

Drupal

Érintett verziók

8.1.10 előtti verziók.

Összefoglaló

A Drupal esetében MAGAS kockázati besorolású sérülékenységek váltak ismertté, amelyeket kihasználva a rosszindulatú távoli felhasználók képesek lehetnek tetszőleges kódot futtatni a site-ot meglátogatók böngészőjében, illetve hozzáférni az oldal konfigurációs állományaihoz. A sérülékenységeket kiküszöbölő megoldás már beszerezhető a gyártótól.

Leírás

A felfedezett biztonsági hibák:

  • Azon felhasználók, akiknek joguk van szerkeszteni egy node-ot, beállíthatják a kommentek láthatóságát, annak ellenére, hogy ez admin jogosultsághoz kötött.
  • Egy nem megfelelő HTTP kivételkezelés miatt a támadók XSS (Cross-site Scripting) támadást képesek végrehajtani: egy speciálisan szerkesztett url segítségével tetszőleges kódot képesek futtatni az áldozat böngészőjében.
  • Továbbá a site teljes konfigurációja letölthető admin jogosultság nélkül.

Megoldás

Frissítsen a legutóbbi (8.1.10) verzióra.