Vulnerabilidad en gestor de contenidos drupal (CVE-2009-1576)
Gravedad CVSS v2.0:
MEDIA
Tipo:
No Disponible / Otro tipo
Fecha de publicación:
06/05/2009
Última modificación:
20/05/2009
Descripción
Vulnerabilidad sin especificar en Drupal 5.x anterior a v5.17 y v6.x anterior a v6.11, usado en vbDrupal anterior a v5.17.0, permite a atacantes remotos asistidos por el usuario obtener información sensible engañando a las víctimas para que visiten la página de inicio a través de una URL manipulada y provocando que los datos de los formularios sean enviados a un sitio controlado por el atacante. Posiblemente relacionado con múltiples caracteres "/" (Slash) que no son manejados adecuadamente por includes/bootstrap.inc como ha sido demostrado usando el formulario de búsqueda. NOTA: esta vulnerabilidad puede ser aprovechada para llevar a cabo ataques de falsificación de petición en sitios cruzados (CSFR)
Impacto
Puntuación base 2.0
4.30
Gravedad 2.0
MEDIA
Productos y versiones vulnerables
CPE | Desde | Hasta |
---|---|---|
cpe:2.3:a:drupal:drupal:5.0:beta1:*:*:*:*:*:* | ||
cpe:2.3:a:drupal:drupal:5.0:beta2:*:*:*:*:*:* | ||
cpe:2.3:a:drupal:drupal:5.0:rc1:*:*:*:*:*:* | ||
cpe:2.3:a:drupal:drupal:5.0:rc2:*:*:*:*:*:* | ||
cpe:2.3:a:drupal:drupal:5.1:*:*:*:*:*:*:* | ||
cpe:2.3:a:drupal:drupal:5.1_rev1.1:*:*:*:*:*:*:* | ||
cpe:2.3:a:drupal:drupal:5.10:*:*:*:*:*:*:* | ||
cpe:2.3:a:drupal:drupal:5.11:*:*:*:*:*:*:* | ||
cpe:2.3:a:drupal:drupal:5.12:*:*:*:*:*:*:* | ||
cpe:2.3:a:drupal:drupal:5.13:*:*:*:*:*:*:* | ||
cpe:2.3:a:drupal:drupal:5.14:*:*:*:*:*:*:* | ||
cpe:2.3:a:drupal:drupal:5.15:*:*:*:*:*:*:* | ||
cpe:2.3:a:drupal:drupal:5.16:*:*:*:*:*:*:* | ||
cpe:2.3:a:drupal:drupal:6.0:beta1:*:*:*:*:*:* | ||
cpe:2.3:a:drupal:drupal:6.0:beta2:*:*:*:*:*:* |
Para consultar la lista completa de nombres de CPE con productos y versiones, ver esta página
Referencias a soluciones, herramientas e información
- http://drupal.org/files/sa-core-2009-005/SA-CORE-2009-005-5.16.patch
- http://drupal.org/node/449078
- http://secunia.com/advisories/34948
- http://secunia.com/advisories/34950
- http://secunia.com/advisories/34980
- http://www.debian.org/security/2009/dsa-1792
- http://www.osvdb.org/54153
- http://www.vbdrupal.org/forum/showthread.php?p=9953#post9953
- http://www.vupen.com/english/advisories/2009/1216
- https://www.redhat.com/archives/fedora-package-announce/2009-May/msg00108.html
- https://www.redhat.com/archives/fedora-package-announce/2009-May/msg00133.html