You are here

Cross Site Scripting en Drupal 6.0

Primer aviso de seguridad para Drupal 6, los early adopters ya tienen la nueva versión de Drupal (la 6.1) esto es debido a los problemas de Cross Site Scripting introducidos en esta nueva versión y que ha descubierto por Steve McKenzie.

Los títulos no se escapan antes de ser mostrados en los formularios de edición de contenidos, permitiendo a los usuarios inyectar HTML arbitrario y código script en estas páginas.

La función Drupal.checkPlain, utilizada para escapar texto en ECMAScript, contiene un bug que causa que tan solo se escape la primera instancia de un carácter, permitiendo a los usuarios inyectar HTML arbitrario y código script en ciertas páginas.

  • ID Aviso: DRUPAL-SA-2008-018
  • Proyecto: Drupal core
  • Versión: 6.0
  • Fecha: 27 de Febrero 2008
  • Riesgo de seguridad: Moderadamente crítico
  • Explotable desde: Remoto
  • Vulnerabilidad: Múltiples vulnerabilidades cross site scripting

Si quieres conocer más acerca de cross site scripting puedes visitar la Wikipedia.

Para solucionar este problema podemos instalar la última versión de Drupal (6.1), o bien aplicar un parche a nuestra instalación existente de Drupal.

Drupal: 
Qué te parece: