CSIRTCV

Está usted visitando una publicación en la hemeroteca de CSIRT-CV.
Para acceder al portal y contenido actual, visite https://www.csirtcv.gva.es

23/05/2011

Vulnerabilidades detectadas en el módulo Webform para Drupal

Las dos vulnerabilidades detectadas permiten la inyección de código HTML arbitrario o scripts, debido a un fallo en el control de los parámetros de entrada.

Riesgo: Medio

Se han reportado dos vulnerabilidades en el módulo Webform para Drupal, que pueden ser utilizadas por usuarios maliciosos para realizar ataques de inyección de código.

En la primera de ellas, no se sanitiza correctamente la cadena introducida en el parámetro "name" antes de ser devuelta al usuario. La segunda consiste en otro fallo del mismo tipo al sanitizar una cadena de entrada, esta vez en el campo de nombre de fichero.

Estos fallos pueden ser utilizados para insertar código HTML arbitrario o scripts, que se ejecutarán en la sesión actual del usuario. Para que la explotación de esta vulnerabilidad sea exitosa, se requieren los permisos "administer nodes" o "create webform content".

Sistemas Afectados:

Módulo Webform para Drupal, versiones 6.x-2.10, 6.x-3.9 y 7.x-3.9

Referencias:

None

Solución:

Se recomienda actualizar a una versión parcheada del módulo a través del actualizador del propio Drupal.

Notas:

http://secunia.com/advisories/44635/
http://drupal.org/node/1161954

Fuente: Secunia Advisories

CSIRT-CV