Scoutnet vzw

We connect scouts!
Het is momenteel 19 Mrt 2024 12:52

Alle tijden zijn UTC + 1 uur




Plaats een nieuw onderwerp Reageren op dit onderwerp  [ 1 bericht ] 
Auteur Bericht
BerichtGeplaatst: 28 Feb 2008 0:30 
Offline
Site Admin
Site Admin

Geregistreerd: 30 Sep 2002 23:00
Berichten: 1806
------------SA-2008-018 - DRUPAL CORE - CROSS SITE SCRIPTING------------

* Advisory ID: DRUPAL-SA-2008-018

* Project: Drupal core

* Version: 6.0

* Date: 2008-February-27

* Security risk: Moderately critical

* Exploitable from: Remote

* Vulnerability: Multiple cross site scripting vulnerabilities

------------DESCRIPTION------------

Titles are not escaped prior to being displayed on content edit forms, allowing users to inject arbitrary HTML and script code into these pages.

The Drupal.checkPlain function, used to escape text in ECMAScript, contains a bug which causes it to escape only the first instance of a character, allowing users to inject arbitrary HTML and script code in certain pages.

Wikipedia has more information about cross site scripting [ http://en.wikipedia.org/wiki/Xss ] (XSS).

------------VERSIONS AFFECTED------------

* Drupal 6.x before version 6.1.

------------SOLUTION------------

Install the latest version:

* Upgrade to Drupal 6.1 [ http://ftp.drupal.org/files/projects/drupal-6.1.tar.gz ].

If you are unable to upgrade immediately, you can apply a patch to secure your installation until you are able to do a proper upgrade.

* To patch Drupal 6.0 use SA-2008-018-6.0.patch [ http://drupal.org/files/sa-2008-018/SA- ... -6.0.patch ].

------------REPORTED BY------------

* Steve McKenzie [ http://drupal.org/user/45890 ] discovered the ECMAScript issue

* The Drupal security team

------------CONTACT------------

The security contact for Drupal can be reached at security at drupal.org or via the form at [ http://drupal.org/contact ].


Omhoog
 Profiel  
 
Berichten weergeven van de afgelopen:  Sorteer op  
Plaats een nieuw onderwerp Reageren op dit onderwerp  [ 1 bericht ] 

Alle tijden zijn UTC + 1 uur


Wie is er online?

Gebruikers in dit forum: Geen geregistreerde gebruikers en 4 gasten


U mag geen nieuwe onderwerpen plaatsen in dit forum
U mag geen reacties plaatsen op onderwerpen in dit forum
U mag uw berichten niet wijzigen in dit forum
U mag uw berichten niet verwijderen in dit forum
U mag geen bijlagen plaatsen in dit forum

Zoeken naar:
Ga naar:  
cron
Powered by phpBB® Forum Software © phpBB Group
Vertaald door phpBBservice.nl.