Panels - Cross Site Scripting (XSS) | Develop Site

  • * Advisory ID: DRUPAL-SA-CONTRIB-2011-002
  • * Project: Panels (third-party module)
  • * Version: 6.x
  • * Date: 2011-January-12
  • * Security risk: Moderately critical
  • * Exploitable from: Remote
  • * Vulnerability: Cross Site Scripting

DESCRIPCION

El modulo Panels permite a los administradores personalizar paginas para diferentes usos dentro de un proyecto Drupal. Este modulo no protege algunos datos que proveen los usuarios antes de mostrarlos, lo que crea una vulnerabilidad XSS (Cross Site Scripting) que puede permitir a usuarios mal intencionados a tener acceso de administración. Esta vulnerabilidad permite que que el atacante tenga permiso de "administración avanzada de pane", " administrar mini panels", " crear nodos", etc.

VERSIONES AFECTADAS

  • * Módulos Panels para versiones Drupal 6.x

El shell de Drupal no esta afectado. Si no se utiliza el modulo no es necesario hacer ninguna modificacion.

SOLUCION

Instalar la última versión

  • * Si se usa el módulo Panels para Drupal 6.x hay que actualizar la versión 6.x-3.9

Ver la página del proyecto.

http://drupal.org/project/panels

Español
Taxonomy upgrade extras: