Vulnerability Bulletins |
Múltiples vulnerabilidades en Drupal |
|
Vulnerability classification |
|
| Property | Value |
| Confidence level | Oficial |
| Impact | Obtener acceso |
| Dificulty | Avanzado |
| Required attacker level | Acceso remoto sin cuenta a un servicio estandar |
System information |
|
| Property | Value |
| Affected manufacturer | Comercial Software |
| Affected software |
Drupal core 6.x, versiones previas a la 6.28 Drupal core 7.x, versiones previas a la 7.19 Mark Complete 7.x-1.x, versiones previas a la 7.x-1.1 Live CSS 6.x-2.x, versiones previas a la 6.x-2.1 Live CSS 7.x-2.x, versiones previas a la 7.x-2.7 RESTWS 7.x-1.x, versiones previas a la 7.x-1.2. RESTWS 7.x-2.x, versiones previas a la 7.x-2.0-alpha4 |
Description |
|
|
Se han descubierto varias vulnerabilidades en Drupal core y en tres de sus módulos. SA-CORE-2013-001: Múltiples vulnerabilidades en Drupal core versiones 6 y 7, que podrían permitir a un atacante remoto efectuar ataques de tipo cross-site scripting y evasión de controles de acceso. SA-CONTRIB-2013-003 (CVE-2013-0205): Vulnerabilidad en el módulo RESTful Web Services (RESTWS) versión 7, consistente en una insuficiente comprobación de solicitudes POST, lo que podría permitir a un atacante remoto efectuar ataques de tipo Cross Site Request Forgery. SA-CONTRIB-2013-004 (CVE-2013-0206): Vulnerabilidad en el módulo Live CSS, versiones 6 y 7, consistente en que no se comprueba si un fichero CSS o LESS guardado con este módulo es un ejecutable o un script, lo que podría permitir a un atacante remoto ejecutar código PHP arbitrario. SA-CONTRIB-2013-005 (CVE-2013-0207): Vulnerabilidad en el módulo Mark Complete versión 7, consistente en que no está suficientemente protegido contra ataques de tipo Cross Site Request Forgery (CSRF). |
|
Solution |
|
| Instalar la última versión publicada para cada producto. | |
Standar resources |
|
| Property | Value |
| CVE |
CVE-2013-0205 CVE-2013-0206 CVE-2013-0207 |
| BID |
bid/57436 bid/57442 bid/57443 |
Other resources |
|
|
SA-CORE-2013-001 - Drupal core - Multiple vulnerabilities http://drupal.org/SA-CORE-2013-001 SA-CONTRIB-2013-005 - Mark Complete Module - Cross Site Request Forgery (CSRF) http://drupal.org/node/1890538 SA-CONTRIB-2013-004 - Live CSS - Arbitrary Code Execution http://drupal.org/node/1890318 SA-CONTRIB-2013-003 - RESTful Web Services - Cross site request forgery (CSRF) http://drupal.org/node/1890222 |
|
Version history |
||
| Version | Comments | Date |
| 1.0 | Aviso emitido | 2013-01-23 |