Está usted visitando una publicación en la hemeroteca de CSIRT-CV.
Para acceder al portal y contenido actual, visite https://www.csirtcv.gva.es
23/05/2011
Se han reportado dos vulnerabilidades en el módulo Webform para Drupal, que pueden ser utilizadas por usuarios maliciosos para realizar ataques de inyección de código.
En la primera de ellas, no se sanitiza correctamente la cadena introducida en el parámetro "name" antes de ser devuelta al usuario. La segunda consiste en otro fallo del mismo tipo al sanitizar una cadena de entrada, esta vez en el campo de nombre de fichero.
Estos fallos pueden ser utilizados para insertar código HTML arbitrario o scripts, que se ejecutarán en la sesión actual del usuario. Para que la explotación de esta vulnerabilidad sea exitosa, se requieren los permisos "administer nodes" o "create webform content".
Módulo Webform para Drupal, versiones 6.x-2.10, 6.x-3.9 y 7.x-3.9
Referencias:None
Solución:Se recomienda actualizar a una versión parcheada del módulo a través del actualizador del propio Drupal.
Notas:http://secunia.com/advisories/44635/
http://drupal.org/node/1161954