CH azonosító
CH-5480Angol cím
Drupal Taxonomy Views Integrator Module Script Insertion VulnerabilityFelfedezés dátuma
2011.08.31.Súlyosság
AlacsonyÉrintett rendszerek
DrupalTaxonomy Views Integrator module
Érintett verziók
Drupal Taxonomy Views Integrator module 6.x 1.0 - 1.1
Összefoglaló
A Drupal Taxonomy Views Integrator moduljának sérülékenységét jelentették, amelyet kihasználva a támadók script befecskendezéses (script insertion) támadást indíthatnak.
Leírás
A kifejezések leírásaikhoz (term description) kapcsolódó adatok bevitele nincs megfelelően ellenőrizve felhasználás előtt. Ez kihasználható tetszőleges HTML és script kód lefuttatására a felhasználó érintett oldallal kapcsolatos böngészői munkamenetében.
A hiba sikeres kihasználásához szükséges az “administer taxonomy” jogosultság.
Megoldás
Frissítsen a legújabb verzióraTámadás típusa
Input manipulation (Bemenet módosítás)Hatás
Loss of confidentiality (Bizalmasság elvesztése)Loss of integrity (Sértetlenség elvesztése)
Szükséges hozzáférés
Remote/Network (Távoli/hálózat)Hivatkozások
Gyártói referencia: drupal.org
SECUNIA 45775
