Security Lab

Небезопасные привилегии на доступ в модулях Drupal Project

Дата публикации:21.08.2007
Дата изменения:13.01.2009
Всего просмотров:1848
Опасность:
Низкая
Наличие исправления: Да
Количество уязвимостей:1
CVE ID: CVE-2007-4436
Вектор эксплуатации: Удаленная
Воздействие: Раскрытие важных данных
Обход ограничений безопасности
CWE ID: Нет данных
Наличие эксплоита: Нет данных
Уязвимые продукты: Drupal Project issue tracking Module 4.x
Drupal Project issue tracking Module 5.x
Drupal Project Module 4.x
Drupal Project Module 5.x
Уязвимые версии:
Drupal Project module версии до 5.x-1.0, 4.7.x-2.3 и 4.7.x-1.3
Drupal Project issue tracking module версии до 5.x-1.0, 4.7.x-2.4 и 4.7.x-1.4

Описание:
Уязвимость позволяет удаленному пользователю обойти некоторые ограничения безопасности и получит доступ к важным данным.

Уязвимость существует из-за некорректной установки привилегий на доступ "access projects", "access own projects", "access project issues" и "access own project issues". Злоумышленник может получить доступ к названиям проектов и другой важной информации.

URL производителя: drupal.org

Решение: Установите последнюю версию с сайта производителя.

Drupal 4.7.x:

Update Project 4.7.x-1.* to version 4.7.x-1.3.
http://drupal.org/node/168765

Update Project 4.7.x-2.* to version 4.7.x-2.3.
http://drupal.org/node/168768

Update Project issue tracking 4.7.x-1.* to version 4.7.x-1.4.
http://drupal.org/node/168771

Update Project issue tracking 4.7.x-2.* to version 4.7.x-2.4.
http://drupal.org/node/168772

Drupal 5.x:

Update Project to 5.x-1.0.
http://drupal.org/node/168769

Update Project issue tracking to 5.x-1.0.
http://drupal.org/node/168773