Está usted visitando una publicación en la hemeroteca de CSIRT-CV.
Para acceder al portal y contenido actual, visite https://www.csirtcv.gva.es
23/05/2011
S'han reportat dues vulnerabilitats en el mòdul Webform per a Drupal, que poden ser utilitzades per usuaris maliciosos per a realitzar atacs d’injecció de codi.
En la primera d'elles, no se saneja correctament la cadena introduïda en el paràmetre "name" abans de ser tornada a l'usuari. La segona consisteix en un altra fallada del mateix tipus, al sanejar una cadena d'entrada, aquesta vegada en el camp de nom de fitxer.
Aquestes fallades poden ser utilitzades per a inserir codi HTML arbitrari o scripts, que s’executaran en la sessió actual de l'usuari. Perquè l'explotació d'aquesta vulnerabilitat siga reeixida, es requereixen els permisos "administer nodes" o "create webform content".
Mòdul Webform per a Drupal, versions 6.X-2.10, 6.X-3.9 i 7.X-3.9
Referències:None
Solució:Es recomana que actualitzeu a una versió apedaçada del mòdul, a través de l'actualitzador del propi Drupal.
Notes:http://secunia.com/advisories/44635/
http://drupal.org/node/1161954