Összefoglaló
Egy sérülékenységet találtak a Drupálban, amit kihasználva, rosszindulatú
felhasználók script befecskendezést hajthatnak végre.
Leírás
Egy sérülékenységet találtak a Drupálban, amit kihasználva, rosszindulatú
felhasználók script befecskendezést hajthatnak végre.
A felhasználó által szolgáltatott bemenet nincs megfelelően megtisztítva felhasználás előtt. Ez kihasználható tetszőleges HTML és script kód futtatására a felhasználó böngészőjének munkamenetében az érintett oldallal kapcsolatosan, ha a kártékony adat UTF-7 kódolásúként kerül megnyitásra és értelmezésre.
A hiba sikeres kihasználásához érvényes felhasználói hozzáférés és a HTML formátumba exportált oldalak szerkesztéséhez való jogosultág, vagy “administer taxonomy” jogosultság szükséges.
A sérülékenység a Drupal 5.x sorozat 5.18 előtti és a Drupal 6.x sorozat 6.12 előtti kiadásait érinti.
Megoldás
Frissítsen a legújabb verzióraTámadás típusa
Input manipulation (Bemenet módosítás)Hatás
Loss of availability (Elérhetőség elvesztése)Loss of confidentiality (Bizalmasság elvesztése)
Loss of integrity (Sértetlenség elvesztése)
Szükséges hozzáférés
Remote/Network (Távoli/hálózat)Hivatkozások
Gyártói referencia: drupal.org
SECUNIA 35045
SECUNIA 34950