Vulnerability Bulletins |
Múltiples vulnerabilidades en Drupal |
|
Vulnerability classification |
|
Property | Value |
Confidence level | Oficial |
Impact | Obtener acceso |
Dificulty | Avanzado |
Required attacker level | Acceso remoto sin cuenta a un servicio estandar |
System information |
|
Property | Value |
Affected manufacturer | Comercial Software |
Affected software |
Drupal core 6.x, versiones previas a la 6.28 Drupal core 7.x, versiones previas a la 7.19 Mark Complete 7.x-1.x, versiones previas a la 7.x-1.1 Live CSS 6.x-2.x, versiones previas a la 6.x-2.1 Live CSS 7.x-2.x, versiones previas a la 7.x-2.7 RESTWS 7.x-1.x, versiones previas a la 7.x-1.2. RESTWS 7.x-2.x, versiones previas a la 7.x-2.0-alpha4 |
Description |
|
Se han descubierto varias vulnerabilidades en Drupal core y en tres de sus módulos. SA-CORE-2013-001: Múltiples vulnerabilidades en Drupal core versiones 6 y 7, que podrían permitir a un atacante remoto efectuar ataques de tipo cross-site scripting y evasión de controles de acceso. SA-CONTRIB-2013-003 (CVE-2013-0205): Vulnerabilidad en el módulo RESTful Web Services (RESTWS) versión 7, consistente en una insuficiente comprobación de solicitudes POST, lo que podría permitir a un atacante remoto efectuar ataques de tipo Cross Site Request Forgery. SA-CONTRIB-2013-004 (CVE-2013-0206): Vulnerabilidad en el módulo Live CSS, versiones 6 y 7, consistente en que no se comprueba si un fichero CSS o LESS guardado con este módulo es un ejecutable o un script, lo que podría permitir a un atacante remoto ejecutar código PHP arbitrario. SA-CONTRIB-2013-005 (CVE-2013-0207): Vulnerabilidad en el módulo Mark Complete versión 7, consistente en que no está suficientemente protegido contra ataques de tipo Cross Site Request Forgery (CSRF). |
|
Solution |
|
Instalar la última versión publicada para cada producto. | |
Standar resources |
|
Property | Value |
CVE |
CVE-2013-0205 CVE-2013-0206 CVE-2013-0207 |
BID |
bid/57436 bid/57442 bid/57443 |
Other resources |
|
SA-CORE-2013-001 - Drupal core - Multiple vulnerabilities http://drupal.org/SA-CORE-2013-001 SA-CONTRIB-2013-005 - Mark Complete Module - Cross Site Request Forgery (CSRF) http://drupal.org/node/1890538 SA-CONTRIB-2013-004 - Live CSS - Arbitrary Code Execution http://drupal.org/node/1890318 SA-CONTRIB-2013-003 - RESTful Web Services - Cross site request forgery (CSRF) http://drupal.org/node/1890222 |
Version history |
||
Version | Comments | Date |
1.0 | Aviso emitido | 2013-01-23 |