Множественные уязвимости в Drupal

Дата публикации:
14.08.2008
Дата изменения:
14.08.2008
Всего просмотров:
1389
Опасность:
Средняя
Наличие исправления:
Да
Количество уязвимостей:
1
CVSSv2 рейтинг:
CVE ID:
CVE-2008-3740
CVE-2008-3741
CVE-2008-3742
CVE-2008-3743
CVE-2008-3744
CVE-2008-3745
Вектор эксплуатации:
Удаленная
Воздействие:
Межсайтовый скриптинг
Компрометация системы
CWE ID:
Нет данных
Наличие эксплоита:
Нет данных
Уязвимые продукты:
Drupal 6.x
Drupal 5.x
Уязвимые версии: Drupal версии до 5.10 и 6.4

Описание:
Обнаруженные уязвимости позволяют удаленному пользователю произвести XSS нападение и скомпрометировать целевую систему.

1. Уязвимость существует из-за недостаточной обработки входных данных. Удаленный пользователь может с помощью специально сформированного запроса выполнить произвольный код сценария в браузере жертвы в контексте безопасности уязвимого сайта.

2. Уязвимость существует из-за того, что частная файловая система использует MIME медиа тип, который она получает от браузера при обработке загружаемых файлов. Удаленный пользователь может произвести XSS нападение. Для успешной эксплуатации уязвимости, целевой пользователь должен иметь привилегии на загрузку файлов.

3. Уязвимость существует из-за отсутствия ограничений на загружаемые типы файлов в модуле BlogAPI. Удаленный пользователь может загрузить и выполнить произвольный PHP сценарий на целевой системе с привилегиями Web сервера.

4. Уязвимость существует из-за недостаточной проверки подлинности HTTP запросов перед выполнением некоторых действий. Удаленный пользователь может произвести CSRF атаку и добавить или удалить правила доступа для пользователя.

URL производителя: drupal.org

Решение: Установите последнюю версию 5.10 или 6.4 с сайта производителя.

или введите имя

CAPTCHA