Drupal Webform Validation Module sérülékenységek


2011. december 1. 12:24

CH azonosító

CH-6023

Angol cím

Drupal Webform Validation Module Multiple Script Insertion Vulnerabilities

Felfedezés dátuma

2011.11.30.

Súlyosság

Alacsony

Érintett rendszerek

Drupal
Webform Validation module

Érintett verziók

Drupal Webform Validation Module 6.x
Drupal Webform Validation Module 7.x

Összefoglaló

A Drupal Webform Validation modul olyan sérülékenységei váltak ismertté, amelyeket kihasználva a támadók script beszúrásos (script insertion) támadásokat tudnak végrehajtani.

Leírás

Egyes meghatározatlan bemeneti adatok nincsenek megfelelően tisztázva használat előtt. Ez kihasználható tetszőleges HTML és script kód beszúrására ami a felhasználó böngészőjének munkamenetében fut le egy érintett oldallal kapcsolatosan a kártékony adatok megtekintésekor.

A sikeres kihasználás feltétele a Webform node-ok frissítési jogosultságának megléte.

A sérükékenységek a 6.x-1.5-öst és 7.x-1.1-est meglőző verziókban találhatóak.

Megoldás

Frissítsen a 6.x-1.5-ös vagy 7.x-1.1-es verzióra.

Támadás típusa

Input manipulation (Bemenet módosítás)
Unspecified (Nem részletezett)

Szükséges hozzáférés

Remote/Network (Távoli/hálózat)

Hivatkozások

SECUNIA 47035
Gyártói referencia: drupal.org

Legfrissebb sérülékenységek
CVE-2023-41974 – Apple iOS and iPadOS Use-After-Free sérülékenység
CVE-2021-30952 – Apple Multiple Products Integer Overflow or Wraparound sérülékenység
CVE-2023-43000 – Apple Multiple products Use-After-Free sérülékenység
CVE-2021-22681 – Rockwell Multiple Products Insufficient Protected Credentials sérülékenység
CVE-2017-7921 – Hikvision Multiple Products Improper Authentication sérülékenység
CVE-2026-27636 – FreeScout sérülékenysége
CVE-2026-28289 – FreeScout sérülékenysége
CVE-2026-21385 – Qualcomm integer overflow sérülékenysége
CVE-2026-26935 – Kibana sérülékenység
CVE-2026-20127 – Cisco Catalyst SD-WAN Controller and Manager Authentication Bypass sérülékenység
Tovább a sérülékenységekhez »