Drupal.cz

Modul Organic Groups umožňuje uživatelům vytvářet a spravovat vlastní „skupiny“. Byly nalezeny dvě zranitelnosti v tomto modulu.

XSS zranitelnost

Tento modul zobrazuje různé hodnoty bez patřičného filtrování. Zákeřní vlastníci skupin jsou schopni zneužít tento problém a vložit nežádoucí skript nebo HTML kód do stránky. XSS útok zneužívající této slabiny by mohl vést k převzetí administrátorských práv.

Předpoklady zneužití:

• Jedno zaškrtávací políčko v administraci musí být odškrtnuto (ve výchozím nastavení je zaškrtnuto)
• Web musí povolit neověřeným uživatelům vytvářet skupiny
• Vlastník takové „záškodnické“ skupiny musí přesvědčit ostatní, aby se připojili k jeho skupině
• Chyby může být zneužito jen pokud se uživatel pokusí začít novou diskuzi ve skupině (komentář se nepočítá)

Vyzrazení informací

Zlomyslní uživatelé mohou zjistit název soukromých skupin. Ostatní podrobnosti o skupině a obsah soukromých příspěvků není kompromitován.

Předpoklady zneužití:

• Musí být povolen modul Organic Groups Access
• Web musí mít povoleno vytváření soukromých skupin

Nebezpečí: Nízké

Týká se jádra: Ne

Postižený modul: Organic Groups

Opraveno ve verzích: 6.x-1.0-rc1 a 5.x-7.3

Odkaz na stažení nové verze: og-6.x-1.0-rc1.tar.gz či og-5.x-7.3.tar.gz