In Drupal Suche kann man HTML eingeben, der Lauftext erzeugt - Sicherheitslücke?
Eingetragen von Lissy01 (278)am 19.10.2015 - 10:23 Uhr in
Ich habe eine Drupal 6 Installation übernommen, die noch unter 6.30 läuft.
Zusätzlich ist das Modul Custom Search in der neuesten Version (6.x-1.13) installiert.
Kürzlich ist aufgefallen, daß man HTML einfüttern kann.
Z.B. erzeugt die folgende Eingabe in das Suchfenster
><marquee onstart=alert("XSS")>
einen Laufschrift-Effekt.
Nun ist ja Drupal 6.30 nicht ganz auf dem neuesten Stand und erfüllt von daher keine höchsten Sicherheits-Erfordernisse.
Aber ich habe den gleichen Trick auf einer ganz aktuellen Drupal 7 Version getestet.
Dort ist nicht das normale Suchfenster aktiv, sondern durch eine exposed Filter-Suche mit Views ersetzt.
Hier kann ich ebenfalls mit obigem Text einen Lauftext erzeugen.
Weiß jemand näheres dazu?
Kann es jemand bei sich nachvollziehen? (Keine Sorge, außer dem lustigen Lauftext passiert ja nichts).
Wo sollte ich das Problem mit der aktuellen View melden?
- Anmelden oder Registrieren um Kommentare zu schreiben
Das ist ja nur JavaScript und
am 22.10.2015 - 13:29 Uhr
Das ist ja nur JavaScript und wird nur in deinem eigenen Browser ausgeführt.
Ansonsten Bugs etc. beim jeweiligen Modul melden. In dem Fall wäre es:
https://www.drupal.org/project/issues/views