Security Lab

Межсайтовый скриптинг в Drupal

Дата публикации:30.09.2002
Дата изменения:17.10.2006
Всего просмотров:1855
Опасность:
Низкая
Наличие исправления: Частично
Количество уязвимостей:1
CVE ID: Нет данных
Вектор эксплуатации: Удаленная
Воздействие: Межсайтовый скриптинг
CWE ID: Нет данных
Наличие эксплоита: Нет данных
Уязвимые продукты: phpWebSite 0.x
Xoops 2.x
PHP-Nuke 6.x
NPDS 4.x SuperCache
daCode 1.x
Drupal 4.x
Drupal 3.x
Описание: Drupal (http://www.drupal.org/) – система публикации новостей и управления содержанием.

Drupal не достаточно фильтрует опасный HTML код при публикации новостей. В результате возможно создание новости, содержащей злонамеренный HTML код, который будет выполнен в браузере пользователя, просматривающего такую новость. Уязвимость может использоваться для организации различных нападений против Web приложений.

Пример:

<IMG SRC="javascript:alert('unsecure')">
Уязвимость обнаружена в Drupal 4.0
Ссылки: ECHU Alert #2: IMG Attack in the news : 6 CMS vulnerables