๐ Field Group Module bis 7.x-1.4 auf Drupal Cross Site Scripting
๐ก Newskategorie: Sicherheitslรผcken
๐ Quelle: scip.ch
Allgemein
scipID: 80171
Betroffen: Field Group Module bis 7.x-1.4
Veröffentlicht: 08.01.2016
Risiko: problematisch
Erstellt: 10.01.2016
Aktualisiert: 11.01.2016
Eintrag: 66.2% komplett
Beschreibung
Eine Schwachstelle wurde in Field Group Module bis 7.x-1.4 auf Drupal ausgemacht. Sie wurde als problematisch eingestuft. Es geht hierbei um eine unbekannte Funktion. Durch die Manipulation mit einer unbekannten Eingabe kann eine Cross Site Scripting-Schwachstelle ausgenutzt werden. Die Auswirkungen sind bekannt für die Integrität. Die Zusammenfassung von CVE lautet:
Cross-site scripting (XSS) vulnerability in the Field Group module 7.x-1.x before 7.x-1.5 for Drupal allows remote authenticated users with permission to configure field display settings to inject arbitrary web script or HTML via an element attribute.
Die Schwachstelle wurde am 08.01.2016 herausgegeben. Die Verwundbarkeit wird mit der eindeutigen Identifikation CVE-2016-1565 gehandelt. Sie gilt als leicht auszunutzen. Umgesetzt werden kann der Angriff über das Netzwerk. Das Ausnutzen erfordert eine einfache Authentisierung. Technische Details sind nicht bekannt und ein Exploit zur Schwachstelle ist ebenfalls nicht vorhanden.
Ein Aktualisieren auf die Version 7.x-1.5 vermag dieses Problem zu lösen.CVSS
Base Score: 4.0 (CVSS2#AV:N/AC:L/Au:S/C:N/I:P/A:N) [?]
Temp Score: 3.5 (CVSS2#E:ND/RL:OF/RC:ND) [?]
CPE
- cpe:/a:field_group_module:field_group_module:7.x-1.0
- cpe:/a:field_group_module:field_group_module:7.x-1.1
- cpe:/a:field_group_module:field_group_module:7.x-1.2
- cpe:/a:field_group_module:field_group_module:7.x-1.3
- cpe:/a:field_group_module:field_group_module:7.x-1.4
Exploiting
Klasse: Cross Site Scripting
Lokal: Nein
Remote: Ja
Verfügbarkeit: Nein
Aktuelle Preisschätzung: $1k-$2k (0-day) / $0-$1k (Heute)
Gegenmassnahmen
Empfehlung: Upgrade
Status: Offizieller Fix
0-Day Time: 0 Tage seit gefunden
Upgrade: Field Group Module 7.x-1.5
Timeline
08.01.2016 | Advisory veröffentlicht
10.01.2016 | VulDB Eintrag erstellt
11.01.2016 | VulDB Eintrag aktualisiert
Quellen
CVE: CVE-2016-1565 (mitre.org) (nvd.nist.org) (cvedetails.com)
...