Межсайтовый скриптинг в Drupal Content Construction Kit

Главные вкладки

Аватар пользователя Mimino Mimino 29 сентября 2007 в 14:30

4 августа, 2007

Программа: Drupal Content Construction Kit версии до 4.7.x-1.6 и 5.x-1.6.

Опасность: Низкая

Наличие эксплоита: Нет

Описание:

Обнаруженные уязвимости позволяют удаленному пользователю произвести XSS нападение.

1. Уязвимость существует из-за недостаточной обработки входных данных в модуле nodereference, когда поле nodereference просматривается через форматировщик "plain". Удаленный пользователь может с помощью специально сформированного запроса выполнить произвольный код сценария в браузере жертвы в контексте безопасности уязвимого сайта.

2. Уязвимость существует из-за недостаточной обработки входных данных в модуле nodereference, когда поле nodereference редактируется с использованием виджета "autocomplete text field" без дополнительной опции "Views.module". Удаленный пользователь может с помощью специально сформированного запроса выполнить произвольный код сценария в браузере жертвы в контексте безопасности уязвимого сайта.
URL производителя: drupal.org/project/cck

Решение: Способов устранения уязвимости не существует в настоящее время.

Источник: http://www.securitylab.ru/vulnerability/301198.php

Комментарии

Аватар пользователя Mimino Mimino 30 сентября 2007 в 20:40

Во первых, сайт по прежнему глючит по черному - либо

500 Internal Server Error

An internal server error occurred. Please try again later.

либо тормозит так, что приходится рефрешиться по несколько раз, пока покажется хоть половина страницы, в этих условиях не до правых колонок.

Не пойму, axel, почему вы так упорствуете и не принимаете помощь http://drupal.ru/node/7834 , создавая тем самым досадные проблемы посетителям сайта?

Во-вторых - почему бы не написать объявление по русски? Типа "Исправление уязвимости......" и далее по английски - тогда бы оно лучше бросалось в глаза.