Přeskočit přímo na text

Domů

XSS a SQL injekce v modulu TrailScout

Vložil/a miloso, 19 Červen, 2008 - 08:51
Tip: Bezpečnost je důležitá! Přihlašte si RSS bezpečnostních problémů Drupalu a buďte vždy v obraze!

Modul TrailScout zobrazuje počet naposledy zobrazených stránek v drobečkové navigaci.

Tento modul zobrazuje různé hodnoty bez předchozího ověření obsahu těchto hodnot. Zlomyslní uživatelé s oprávněním vytvářet příspěvky jsou schopni využít této chyby a vložit libovolný HTML kód nebo skript do stránek. Takovýto XSS útok může vést k získání administrátorských práv.

TrailScout taktéž nepoužívá správně databázové API Drupalu a vkládá hodnoty z cookies přímo do databázových dotazů. Toto může být pochopitelně zneužito na většině konfigurací PHP k uskutečnění útoku zvaného jako „SQL injekce”. Takovýto útok může taktéž vést k získání administrátorských práv.

Všem uživatelům je doporučeno aktualizovat na nejnovější verzi.

Nebezpečí: Kritické

Týká se jádra: Ne

Postižený modul: TrailScout

Opraveno ve verzích: 5.x-1.4

Odkaz na stažení nové verze: TrailScout 5.x-1.4

 

Poslat nový komentář

Obsah tohoto pole je soukromý a nebude veřejně zobrazen.
  • You can use Texy! to format and alter entered content.
  • Povolené HTML značky: <a> <em> <strong> <cite> <code> <ul> <ol> <li> <p> <br> <b> <i> <h2> <img> <pre> <sup> <sub> <pre class="php"> <span class="php-keyword1"> <span class="php-var"> <span class="php-num"> <img class="screenshot"> <p class="beginner"> <a class="greybox"> <h3> <h4>

Více informací o možnostech formátování

Mollom CAPTCHA (play audio CAPTCHA)
Type the characters you see in the picture above; if you can't read them, submit the form and a new image will be generated.

Drupal meet-up mobilni web 2011

Články, prezentace

 

Hledat

Přihlášení

Poslední komentáře

Bezpečnostní aktuality

RSS Kanály

Support