CH azonosító
CH-4625Angol cím
Drupal Translation Management Module Multiple VulnerabilitiesFelfedezés dátuma
2011.03.30.Súlyosság
AlacsonyÉrintett rendszerek
DrupalTranslation Management module
Érintett verziók
Drupal Translation Management module 6.x
Összefoglaló
A Drupal Translation Management modul olyan sérülékenységeit jelentették, amelyeket kihasználva a rosszindulatú felhasználók script beszúrásos támadásokat indíthatnak és SQL befecskendezéses támadásokat hajthatnak végre, illetve a támadók cross-site request forgery (XSRF) támadásokat indíthatnak.
Leírás
- Bizonyos meghatározatlan bemenet nincs megfelelően ellenőrizve mielőtt felhasználnák. Ezt kihasználva tetszőleges HTML és script kódot lehetséges beilleszteni a felhasználó böngészőjében az érintett oldal vonatkozásában a kártékony tartalom megjelenítése során.
- Bizonyos meghatározatlan bemenet nincs megfelelően ellenőrizve, mielőtt SQL lekérdezésekben használnák. Ez kihasználható az SQL lekérdezések módosítására tetszőleges kód befecskendezésével.
- Az alkalmazás lehetővé tesz bizonyos műveleteket HTTP kéréseken keresztül, a kérések ellenőrzése nélkül. Ezt kihasználva pl. fordításokat lehet visszavonni, ha egy bejelentkezett adminisztrátor felhasználó meglátogat egy rosszindulatú weboldalt.
A sérülékenységeket a 6.x-1.22 előtti verziókban jelentették.
Megoldás
Frissítsen a legújabb verzióraTámadás típusa
Input manipulation (Bemenet módosítás)Hatás
Loss of confidentiality (Bizalmasság elvesztése)Loss of integrity (Sértetlenség elvesztése)
Szükséges hozzáférés
Remote/Network (Távoli/hálózat)Hivatkozások
SECUNIA 43950
Gyártói referencia: drupal.org