CVE-2022-50957
ŚrednieCVSS 6.1Streszczenie
Drupal avatar_uploader w wersji 7.x-1.0-beta8 zawiera podatność na refleksyjny atak typu cross-site scripting, która pozwala nieautoryzowanym atakującym na wstrzykiwanie złośliwych skryptów poprzez manipulację parametrem pliku. Atakujący mogą tworzyć adresy URL z ładunkami skryptów w parametrze pliku, co umożliwia wykonanie dowolnego kodu JavaScript w przeglądarkach ofiar.
Ocena ryzyka
Podatność ta stwarza ryzyko wykonania złośliwego kodu w przeglądarkach użytkowników, co może prowadzić do kradzieży danych, przejęcia sesji lub innych ataków na użytkowników. Organizacje powinny być świadome potencjalnych konsekwencji związanych z bezpieczeństwem danych.
Rekomendacja
Zaleca się aktualizację modułu avatar_uploader do najnowszej wersji, która eliminuje tę podatność. Dodatkowo, warto wdrożyć mechanizmy zabezpieczające przed atakami XSS, takie jak walidacja i sanitizacja danych wejściowych.
Oryginalny opis (angielski, źródło NVD)
Drupal avatar_uploader 7.x-1.0-beta8 contains a reflected cross-site scripting vulnerability that allows unauthenticated attackers to inject malicious scripts by manipulating the file parameter. Attackers can craft URLs with script payloads in the file parameter of avatar_uploader.pages.inc to execute arbitrary JavaScript in victim browsers.

