Scoutnet vzw

We connect scouts!
Het is momenteel 19 Mrt 2024 9:42

Alle tijden zijn UTC + 1 uur




Plaats een nieuw onderwerp Reageren op dit onderwerp  [ 1 bericht ] 
Auteur Bericht
BerichtGeplaatst: 23 Jun 2008 19:03 
Offline
Site Admin
Site Admin
Gebruikers-avatar

Geregistreerd: 17 Jul 2002 23:00
Berichten: 1522
Woonplaats: Wetteren
------------SA-2008-037 - TRAILSCOUT - XSS AND SQL INJECTION------------

* Advisory ID: DRUPAL-SA-2008-037
* Project: TrailScout (third-party module)
* Version: 5.x
* Date: 2008-June-18
* Security risk: Higly critical
* Exploitable from: Remote
* Vulnerability: Cross site scripting and SQL injection

------------DESCRIPTION------------

The TrailScout module displays a number of last visited pages as breadcrumbs.

The module displays certain values without appropriate filtering. Malicious users with the permission to create posts are able to exploit this issue and insert arbitrary HTML and script code into pages. Such a cross site scripting attack [ http://en.wikipedia.org/wiki/Xss ] may lead to the malicious user gaining administrator access.

Trailscout also does not properly use the Drupal database API and inserts values from cookies directly into queries. This can be exploited on most PHP configurations to perform SQL Injection attacks [ http://en.wikipedia.org/wiki/Sql_injection ]. These attacks may lead to the malicious user gaining administrator access.

All users are encouraged to update to the latest version. Be sure to verify the compatibility of your contrib modules as you perform the update.

------------VERSIONS AFFECTED------------

* TrailScout for Drupal 5.x prior to 5.x-1.4

Drupal core is not affected. If you do not use the contributed TrailScout module, there is nothing you need to do.

------------SOLUTION------------

Install the latest version:

* TrailScout 5.x-1.4 [ http://drupal.org/node/272114 ].

See also the TrailScout project page [ http://drupal.org/project/trailscout ].

------------REPORTED BY------------

Gerhard Killesreiter [ http://drupal.org/user/227 ] (Drupal security team).

------------CONTACT------------

The security contact for Drupal can be reached at security at drupal.org or via the form at [ http://drupal.org/contact ].


Omhoog
 Profiel  
 
Berichten weergeven van de afgelopen:  Sorteer op  
Plaats een nieuw onderwerp Reageren op dit onderwerp  [ 1 bericht ] 

Alle tijden zijn UTC + 1 uur


Wie is er online?

Gebruikers in dit forum: Geen geregistreerde gebruikers en 2 gasten


U mag geen nieuwe onderwerpen plaatsen in dit forum
U mag geen reacties plaatsen op onderwerpen in dit forum
U mag uw berichten niet wijzigen in dit forum
U mag uw berichten niet verwijderen in dit forum
U mag geen bijlagen plaatsen in dit forum

Zoeken naar:
Ga naar:  
cron
Powered by phpBB® Forum Software © phpBB Group
Vertaald door phpBBservice.nl.