Está usted visitando una publicación en la hemeroteca de CSIRT-CV.
Para acceder al portal y contenido actual, visite https://www.csirtcv.gva.es
30/04/2012
1) Una entrada no especificada, relacionada amb les classes de productes, no es verifica apropiadament abans de ser mostrada a l’usuari. Açò pot ser explotat per a inserir codi HTML arbitrari o codi script, que s’executarà en el navegador d’un usuari en el context d’un lloc afectat quan es mostren les dades malicioses.
2) Una entrada sense especificar passada a través de la funcionalitat de les accions, no es verifica apropiadament abans de ser utilitzada, cosa que permet l’explotació per a executar codi PHP arbitrari.
Per a poder explotar de forma reeixida esta vulnerabilitat, es requerix tindre permisos per a l’administració de les classes de productes.
Nota: esta última vulnerabilitat només afecta Ubercart 6.x-2.x.
Sistemes Afectats: Drupal Ubercart Module 6.x
Drupal Ubercart Module 7.x
None
Solució:Actualitzar a les versions 6.x-2.8 o 7.x-3.1.
Notes:SA-CONTRIB-2012-064
Secunia Alert