Katalog CVE

CVE-2022-50957

ŚrednieCVSS 6.1
Opublikowano: Zaktualizowano: Przetłumaczono: NVD NIST

Streszczenie

Drupal avatar_uploader w wersji 7.x-1.0-beta8 zawiera podatność na refleksyjny atak typu cross-site scripting, która pozwala nieautoryzowanym atakującym na wstrzykiwanie złośliwych skryptów poprzez manipulację parametrem pliku. Atakujący mogą tworzyć adresy URL z ładunkami skryptów w parametrze pliku, co umożliwia wykonanie dowolnego kodu JavaScript w przeglądarkach ofiar.

Ocena ryzyka

Podatność ta stwarza ryzyko wykonania złośliwego kodu w przeglądarkach użytkowników, co może prowadzić do kradzieży danych, przejęcia sesji lub innych ataków na użytkowników. Organizacje powinny być świadome potencjalnych konsekwencji związanych z bezpieczeństwem danych.

Rekomendacja

Zaleca się aktualizację modułu avatar_uploader do najnowszej wersji, która eliminuje tę podatność. Dodatkowo, warto wdrożyć mechanizmy zabezpieczające przed atakami XSS, takie jak walidacja i sanitizacja danych wejściowych.

Oryginalny opis (angielski, źródło NVD)

Drupal avatar_uploader 7.x-1.0-beta8 contains a reflected cross-site scripting vulnerability that allows unauthenticated attackers to inject malicious scripts by manipulating the file parameter. Attackers can craft URLs with script payloads in the file parameter of avatar_uploader.pages.inc to execute arbitrary JavaScript in victim browsers.

Dane podatności pochodzą z NVD (NIST) · CISA KEV · EPSS