CH azonosító
CH-6223Angol cím
Drupal Vote Up/Down Module Taxonomy Script Insertion VulnerabilityFelfedezés dátuma
2012.01.11.Súlyosság
AlacsonyÖsszefoglaló
A Drupal Vote Up/Down moduljának sérülékenysége vált ismertté, amelyet kihasználva a rosszindulatú felhasználók script beszúrásos támadásokat hajthatnak végre.
Leírás
Az osztályozó (taxonomy) kifejezésekkel megadott bemeneti adat nincs megfelelően megtisztítva a vud-term almodulban mielőtt felhasználnák. Ezt kihasználva tetszőleges HTML és script kód beszúrható, ami a felhasználó böngészőjének munkamenetében kerül lefuttatásra az érintett oldallal kapcsolatban a káros tartalom megtekintésekor.
A sérülékenység sikeres kihasználásához jogosultság szükséges az osztályozó kifejezések létrehozására és szerkesztésére.
A sérülékenység a 6.x-2.8 és a 6.x-3.1 előtti verziókat érinti.
Megoldás
Frissítsen a legújabb verzióraTámadás típusa
Input manipulation (Bemenet módosítás)Hatás
Loss of confidentiality (Bizalmasság elvesztése)Loss of integrity (Sértetlenség elvesztése)
Szükséges hozzáférés
Remote/Network (Távoli/hálózat)Hivatkozások
Gyártói referencia: drupal.org
SECUNIA 47549