Está usted visitando una publicación en la hemeroteca de CSIRT-CV.
Para acceder al portal y contenido actual, visite https://www.csirtcv.gva.es

23/05/2011

Vulnerabilitats detectades en el mòdul Webform per a Drupal

Les dues vulnerabilitats detectades permeten la injecció de codi HTML arbitrari o scripts, a causa d'un fallada en el control dels paràmetres d'entrada.

S'han reportat dues vulnerabilitats en el mòdul Webform per a Drupal, que poden ser utilitzades per usuaris maliciosos per a realitzar atacs d’injecció de codi. 

En la primera d'elles, no se saneja correctament la cadena introduïda en el paràmetre "name" abans de ser tornada a l'usuari. La segona consisteix en un altra fallada del mateix tipus, al sanejar una cadena d'entrada, aquesta vegada en el camp de nom de fitxer.
 
Aquestes fallades poden ser utilitzades per a inserir codi HTML arbitrari o scripts, que s’executaran en la sessió actual de l'usuari. Perquè l'explotació d'aquesta vulnerabilitat siga reeixida, es requereixen els permisos "administer nodes" o "create webform content".

Sistemes Afectats:

Mòdul Webform per a Drupal, versions 6.X-2.10, 6.X-3.9 i 7.X-3.9

Referències:

None

Solució:

Es recomana que actualitzeu a una versió apedaçada del mòdul, a través de l'actualitzador del propi Drupal.

Notes:

http://secunia.com/advisories/44635/
http://drupal.org/node/1161954

CSIRT-CV