Dos vulnerabilidades han sido reportadas en el módulo Prepopulate para Drupal, las cuales pueden ser explotadas por usuarios maliciosos para realizar un ataque de inserción de script y por personas maliciosas que puedan realizar ataques cross-site request forgery, de acuerdo con Secunia.
La entrada pasa a través del formulario Prepopulate que no ha sido propiamente verificado antes de ser utilizado. Esto puede ser explotado mediante la inserción de código HTML arbitrario y scripts, los cuales serán ejecutados en una sesión de navegador del usuario en el contexto de un sitio web afectado cuando los datos maliciosos están siendo vistos. Una explotación exitosa de esta vulnerabilidad requiere permisos para utilizar los formularios con los campos de cierta forma.
La interfaz de aplicación web permite a los usuarios realizar ciertas acciones a través de peticiones HTTP sin realizar ninguna revisión de validez para verificar solicitudes. Esto puede ser explotado para enviar valores no especificados en un formulario para engañar a un usuario conectado que visita un sitio web malicioso. La vulnerabilidad se presenta en versiones anteriores a 6.x-2.2.
Fuente: Net Security
MML/GC
