Összefoglaló
Több sérülékenységet találtak a Drupal Webform moduljában, amiket kihasználva, rosszindulatú felhasználók script befecskendezéses támadást hajthatnak végre, valamit támadók bizalmas információkat szerezhetnek.
Leírás
Több sérülékenységet találtak a Drupal Webform moduljában, amiket kihasználva, rosszindulatú felhasználók script befecskendezéses támadást hajthatnak végre, valamit támadók bizalmas információkat szerezhetnek.
-
Új űrlap készítésekor a mező címkék nincsenek megfelelően megtisztítva felhasználás előtt. Ezt kihasználva, tetszőleges HTML és script kódot lehet lefuttatni a felhasználó böngészőjében, az érintett oldal vonatkozásában.
A sérülékenység kihasználásához űrlap készítési jogosultságra van szükség. - A gyorsítótárazott oldalak kezelésének hibáját kihasználva, a munkamenet során használt változókat meg lehet szerezni, ha a gyorsítótár használata engedélyezve van.
A sérülékenységek a 6.x-2.8 és az 5.x-2.8 előtti kiadásokban találhatók meg.
Megoldás
Frissítsen a legújabb verzióraTámadás típusa
Information disclosure (Információ/adat szivárgás)Input manipulation (Bemenet módosítás)
Hatás
Loss of confidentiality (Bizalmasság elvesztése)Loss of integrity (Sértetlenség elvesztése)
Szükséges hozzáférés
Remote/Network (Távoli/hálózat)Hivatkozások
Gyártói referencia: drupal.org
SECUNIA 37021