4 августа, 2007
Программа: Drupal Content Construction Kit версии до 4.7.x-1.6 и 5.x-1.6.
Опасность: Низкая
Наличие эксплоита: Нет
Описание:
Обнаруженные уязвимости позволяют удаленному пользователю произвести XSS нападение.
1. Уязвимость существует из-за недостаточной обработки входных данных в модуле nodereference, когда поле nodereference просматривается через форматировщик "plain". Удаленный пользователь может с помощью специально сформированного запроса выполнить произвольный код сценария в браузере жертвы в контексте безопасности уязвимого сайта.
2. Уязвимость существует из-за недостаточной обработки входных данных в модуле nodereference, когда поле nodereference редактируется с использованием виджета "autocomplete text field" без дополнительной опции "Views.module". Удаленный пользователь может с помощью специально сформированного запроса выполнить произвольный код сценария в браузере жертвы в контексте безопасности уязвимого сайта.
URL производителя: drupal.org/project/cck
Решение: Способов устранения уязвимости не существует в настоящее время.
Источник: http://www.securitylab.ru/vulnerability/301198.php
Комментарии
Решение: Способов устранения уязвимости не существует в настоящее время
http://drupal.org/node/166998
P.S.: Может в следующий раз потрудимся хотя бы в правую колонку данного сайта посмотреть?
Во первых, сайт по прежнему глючит по черному - либо
500 Internal Server Error
An internal server error occurred. Please try again later.
либо тормозит так, что приходится рефрешиться по несколько раз, пока покажется хоть половина страницы, в этих условиях не до правых колонок.
Не пойму, axel, почему вы так упорствуете и не принимаете помощь http://drupal.ru/node/7834 , создавая тем самым досадные проблемы посетителям сайта?
Во-вторых - почему бы не написать объявление по русски? Типа "Исправление уязвимости......" и далее по английски - тогда бы оно лучше бросалось в глаза.