www.

Παρασκευή, 3 Νοεμβρίου 2017

Drupal security update - Cross Site Scripting στο Automated Logout


Μια νέα αναβάθμιση ασφαλείας (update) είναι πλέον διαθέσιμη για το δημοφιλές σύστημα διαχείρισης περιεχομένου Drupal, στον μηχανισμό (module) Automated Logout

To module αυτό επιτρέπει στον διαχειριστή να αποσυνδέει χρήστες μετά από κάποιο χρονικό διάστημα αδράνειάς τους στο site. Η παραμετροποίηση του συγκεκριμένου μηχανισμού μπορεί να φτάσει σε μεγάλο βάθος και μπορεί να περιλαμβάνει "site policies" ανά ρόλο χρήστη (user role), προκειμένου να οδηγήσει τον χρήστη σε Automated Logout.

 Ο μηχανισμός δεν φιλτράρει αποτελεσματικά το κείμενο που είναι αποθηκευμένο στο configuration, οδηγώντας σε persistent Cross Site Scripting vulnerability (XSS). Η ευπάθεια αυτή μετριάζεται από το γεγονός ότι ο χρήστης θα πρέπει να έχει ρόλο με δικαιώματα "administer autologout".

Η λύση επέρχεται  αναβαθμίζοντας στην τελευταία έκδοση, όπου η ευπάθεια αντιμετωπίζεται!
 
Περισσότερα χρήσιμα άρθρα για το Drupal θα βρείτε στην γνωσιακή μας βάση.

Δεν υπάρχουν σχόλια:

Δημοσίευση σχολίου

 

Copyright @ 2014 Web hosting and domain names blog by IP.GR