Érintett rendszerek
DrupalSimplenews module
Érintett verziók
Drupal Simplenews module 5.x-1.0 - 5.x-1.4
Összefoglaló
A Drupal Simplenews moduljának sérülékenységét jelentették, melyet rosszindulatú felhasználók script beszúrásos támadásokra használhatnak ki.
Leírás
A Drupal Simplenews moduljának sérülékenységét jelentették, melyet rosszindulatú felhasználók script beszúrásos támadásokra használhatnak ki.
A Newsletter kategóriákként átadott bevitel nincs megfelelően megtisztítva, mielőtt tárolásra kerülne. Ez tetszőleges HTML és script kód beszúrására használható, mely a felhasználó böngészőjének munkamenetében, az érintett oldallal kapcsolatban kerül végrehajtásra a rosszindulatú adat megtekintésekor.
A sikeres kiaknázás előfeltétele az érvényes felhasználói jogosultság “administer taxonomy” engedéllyel.
Megoldás
Frissítsen a legújabb verzióraTámadás típusa
Input manipulation (Bemenet módosítás)Hatás
Loss of confidentiality (Bizalmasság elvesztése)Loss of integrity (Sértetlenség elvesztése)
Szükséges hozzáférés
Remote/Network (Távoli/hálózat)Hivatkozások
SECUNIA 32022
Gyártói referencia: drupal.org