Vulnerabilidad en gestor de contenidos drupal (CVE-2009-1576)

Gravedad CVSS v2.0:

MEDIA

Tipo:

No Disponible / Otro tipo

Fecha de publicación:

06/05/2009

Última modificación:

20/05/2009

Descripción

Vulnerabilidad sin especificar en Drupal 5.x anterior a v5.17 y v6.x anterior a v6.11, usado en vbDrupal anterior a v5.17.0, permite a atacantes remotos asistidos por el usuario obtener información sensible engañando a las víctimas para que visiten la página de inicio a través de una URL manipulada y provocando que los datos de los formularios sean enviados a un sitio controlado por el atacante. Posiblemente relacionado con múltiples caracteres "/" (Slash) que no son manejados adecuadamente por includes/bootstrap.inc como ha sido demostrado usando el formulario de búsqueda. NOTA: esta vulnerabilidad puede ser aprovechada para llevar a cabo ataques de falsificación de petición en sitios cruzados (CSFR)

Impacto

Vector 2.0

AV:N/AC:M/Au:N/C:P/I:N/A:N CVSS v2.0 Severidad y Métricas:

Puntuación base: 4.30 MEDIA
Vector: AV:N/AC:M/Au:N/C:P/I:N/A:N

Vector de acceso (AV): A través de red
Complejidad de acceso (AC): Medio
Autenticación (Au): Ninguno
Impacto a la confidencialidad (C): Físico
Impacto a la integridad (I): Ninguno
Impacto a la disponibilidad (A): Ninguno

Puntuación base 2.0

4.30

Gravedad 2.0

MEDIA

Productos y versiones vulnerables

CPE	Desde	Hasta
cpe:2.3:a:drupal:drupal:5.0:beta1::::::
cpe:2.3:a:drupal:drupal:5.0:beta2::::::
cpe:2.3:a:drupal:drupal:5.0:rc1::::::
cpe:2.3:a:drupal:drupal:5.0:rc2::::::
cpe:2.3:a:drupal:drupal:5.1:::::::*
cpe:2.3:a:drupal:drupal:5.1_rev1.1:::::::*
cpe:2.3:a:drupal:drupal:5.10:::::::*
cpe:2.3:a:drupal:drupal:5.11:::::::*
cpe:2.3:a:drupal:drupal:5.12:::::::*
cpe:2.3:a:drupal:drupal:5.13:::::::*
cpe:2.3:a:drupal:drupal:5.14:::::::*
cpe:2.3:a:drupal:drupal:5.15:::::::*
cpe:2.3:a:drupal:drupal:5.16:::::::*
cpe:2.3:a:drupal:drupal:6.0:beta1::::::
cpe:2.3:a:drupal:drupal:6.0:beta2::::::

Para consultar la lista completa de nombres de CPE con productos y versiones, ver esta página

CPE	Desde	Hasta
cpe:2.3:a:drupal:drupal:5.0:beta1::::::
cpe:2.3:a:drupal:drupal:5.0:beta2::::::
cpe:2.3:a:drupal:drupal:5.0:rc1::::::
cpe:2.3:a:drupal:drupal:5.0:rc2::::::
cpe:2.3:a:drupal:drupal:5.1:::::::*
cpe:2.3:a:drupal:drupal:5.1_rev1.1:::::::*
cpe:2.3:a:drupal:drupal:5.10:::::::*
cpe:2.3:a:drupal:drupal:5.11:::::::*
cpe:2.3:a:drupal:drupal:5.12:::::::*
cpe:2.3:a:drupal:drupal:5.13:::::::*
cpe:2.3:a:drupal:drupal:5.14:::::::*
cpe:2.3:a:drupal:drupal:5.15:::::::*
cpe:2.3:a:drupal:drupal:5.16:::::::*
cpe:2.3:a:drupal:drupal:6.0:beta1::::::
cpe:2.3:a:drupal:drupal:6.0:beta2::::::

Vulnerabilidad en gestor de contenidos drupal (CVE-2009-1576)

Descripción

Impacto

Productos y versiones vulnerables

Referencias a soluciones, herramientas e información