Drupal security update - Cross Site Scripting στο Automated Logout
https://blog.ip.gr/2017/11/drupal-security-update-cross-site-scripting-automated-logout-module.html
Μια νέα αναβάθμιση ασφαλείας (update) είναι πλέον διαθέσιμη για το δημοφιλές σύστημα διαχείρισης περιεχομένου Drupal, στον μηχανισμό (module) Automated Logout.
To module αυτό επιτρέπει στον διαχειριστή να αποσυνδέει χρήστες μετά από κάποιο χρονικό διάστημα αδράνειάς τους στο site. Η παραμετροποίηση του συγκεκριμένου μηχανισμού μπορεί να φτάσει σε μεγάλο βάθος και μπορεί να περιλαμβάνει "site policies" ανά ρόλο χρήστη (user role), προκειμένου να οδηγήσει τον χρήστη σε Automated Logout.
Ο μηχανισμός δεν φιλτράρει αποτελεσματικά το κείμενο που είναι αποθηκευμένο στο configuration, οδηγώντας σε persistent Cross Site Scripting vulnerability (XSS). Η ευπάθεια αυτή μετριάζεται από το γεγονός ότι ο χρήστης θα πρέπει να έχει ρόλο με δικαιώματα "administer autologout".
Η λύση επέρχεται αναβαθμίζοντας στην τελευταία έκδοση, όπου η ευπάθεια αντιμετωπίζεται!
Ο μηχανισμός δεν φιλτράρει αποτελεσματικά το κείμενο που είναι αποθηκευμένο στο configuration, οδηγώντας σε persistent Cross Site Scripting vulnerability (XSS). Η ευπάθεια αυτή μετριάζεται από το γεγονός ότι ο χρήστης θα πρέπει να έχει ρόλο με δικαιώματα "administer autologout".
Η λύση επέρχεται αναβαθμίζοντας στην τελευταία έκδοση, όπου η ευπάθεια αντιμετωπίζεται!
Περισσότερα χρήσιμα άρθρα για το Drupal θα βρείτε στην γνωσιακή μας βάση.
Follow Us