Mnoho zranitelností v modulu Taxonomy Autotagger
Modul Taxonomy Autotagger automaticky označí příspěvek termíny ze slovníku, pokud jsou termíny nalezeny v obsahu příspěvku.
Tento modul však nevyužívá databázového API Drupalu správně a vkládá hodnoty vložené uživatelem přímo do SQL dotazů. Toto může být zneužito lstivými uživateli s oprávněním vytvářet nebo upravovat příspěvky k provedení útoku zvaného jako „SQL injekce“. Takový útok může vést až k získání administrátorských práv.
Tento modul též zobrazuje různé hodnoty bez patřičného filtrování. Zákeřní uživatelé s oprávněním vytvářet nebo upravovat příspěvky jsou schopni zneužít této chyby a vložit nežádoucí skript nebo HTML kód do stránek. Toto by mohlo vést až k XSS útoku a získání administrátorských práv.
Nebezpečí: Kritické
Týká se jádra: Ne
Postižený modul: Taxonomy Autotagger
Opraveno ve verzích: 5.x-1.8
Odkaz na stažení nové verze: autotag-5.x-1.8.tar.gz
Hlavní RSS kanál
Poslat nový komentář