Összefoglaló
A Drupal Views Module olyan sérülékenységei és biztonsági hibái váltak ismertté, melyeket kihasználva rosszindulatú felhasználók script beszúrásos támadásokat tudnak végrehajtani, támadók pedig megkerülhetnek bizonyos biztonsági korlátozásokat.
Leírás
A Drupal Views Module olyan sérülékenységei és biztonsági hibái váltak ismertté, melyeket kihasználva rosszindulatú felhasználók script beszúrásos támadásokat tudnak végrehajtani, támadók pedig megkerülhetnek bizonyos biztonsági korlátozásokat.
- Szűrők beállításánál a bevitel nincs megfelelően megtisztítva használat előtt. Ez kihasználható tetszőleges HTML és script kód beszúrására, ami a felhasználó böngészőjében fut le egy érintett oldallal kapcsolatosan a kártékony adatok megtekintésekor.
-
Nézet hozzáadásakor a nézet neve nincs megfelelően megtisztítva használat előtt.. Ez kihasználható tetszőleges HTML és script kód beszúrására, ami a felhasználó böngészőjében fut le egy érintett oldallal kapcsolatosan a kártékony adatok megtekintésekor.
A sikeres kihasználás feltétele “administer views” jogok megléte.
- Névtelen felhasználók által jegyzett publikálatlan tartalom elérhető más névtelen felhasználók által.
- Egy lekérdezések létrehozásánál fellépő hiba által felhasználók férhetnek hozzá személyes tartalomhoz.
A sérülékenységek és biztonsági hibák a 6.x-2.6-ost megelőző verziókban találhatóak.
Megoldás
Frissítsen a legújabb verzióraTámadás típusa
Input manipulation (Bemenet módosítás)Other (Egyéb)
Hatás
Loss of confidentiality (Bizalmasság elvesztése)Loss of integrity (Sértetlenség elvesztése)
Szükséges hozzáférés
Remote/Network (Távoli/hálózat)Hivatkozások
SECUNIA 35425
Gyártói referencia: drupal.org