Drupal Taxonomy Image Module - множественные CSS/XSS
Сектор:
Корпоративное ПО
Производитель:
Drupal
Продукт:
Drupal Taxonomy Image Module
Операционная система:
-
Версии:
5.x-1.x, 6.x-1.x
Тип:
CSS/XSS 
CSS/XSS – Общее определение: XSS (Cross-Site Scripting, назван CSS/XSS во избежание путаницы с другим термином, CSS, обозначающим стили в HTML), так называемый межсайтовый скриптинг. Позволяет выполнить произвольный JavaScript-код в клиентском приложении в контексте уязвимого сайта. Код передаётся в качестве одного из параметров в запросе к уязвимому сценарию, который не проводит фильтрацию данных перед их использованием. Эксплуатация уязвимости может привести к хищению cookie, фишингу или загрузке вредоносного кода от имени уязвимого сайта.
Наличие эксплойта:
нет
Наличие патча:
патч
Локальная/удаленная:
удаленная
Уровень:
средний
ОПИСАНИЕ
В модуле Drupal, Taxonomy Image, обнаружены множественные уязвимости к межсайтовому скриптингу. Ряд параметров (подробности неизвестны) не проверяется на предмет HTML-тегов перед выводом на страницу, что позволяет выполнить на странице JavaScript в контексте сайта, передав его в параметре URI.
ЗАЩИТА
Уязвимости устранены в версиях 5.x-1.3 и 6.x-1.3.