XSS и BF уязвимости в Drupal

Здравствуйте 3APA3A!

Сообщаю вам о найденных мною Cross-Site Scripting и Brute Force
уязвимостях в Drupal.

XSS (WASC-08):

На страницах с формами (например на странице комментария
http://site/comment/reply/1, как формах добавления, так и
редактирования данных), которые защищены токеном от CSRF, возможна
reflected XSS атака. Причём без необходимости знания form_token.
Атака осуществляется на любые формы с включенным FCKeditor/CKEditor
(которые весьма распространены на сайтах на Drupal). Подобная атака
может быть осуществлена и на формы с TinyMCE - о подобных уязвимостях
в PHP-Nuke через TinyMCE я уже писал
(http://websecurity.com.ua/4842/).

Если это форма редактирования данных, то атака может быть проведена
только на залогиненого пользователя сайта, который является
владельцем данного аккаунта (кто разместил данный комментарий и
т.д.), или админа сайта. А если форма добавления данных (например
комментария), то можно проводить атаки на админа и любых залогиненных
пользователей сайта. Атакующий код может быть в параметре comment,
body или другом, в зависимости от формы.

http://websecurity.com.ua/uploads/2011/Drupal%20XSS.html

Brute Force (WASC-11):

В форме логина в боковой панели, которая размещена на любых внешних
страницах сайта (http://site/node), не реализована надёжная защита от
подбора пароля. В самом Drupal капчи нет, а существующий Captcha
модуль (а также все плагины к нему, такие как reCAPTCHA) являются
уязвимыми, как я уже писал (http://websecurity.com.ua/4763/).
Эксплоит отличается от предыдущей BF: если в предыдущей Brute Force
уязвимости form_id равен user_login, то в данной - form_id равен
user_login_block.

Уязвимы Drupal 6.22 и предыдущие версии. Учитывая, что разработчики
не исправили данные уязвимости, то версии 7.x также должны быть
уязвимыми.

Дополнительная информация о данных уязвимостях у меня на сайте:
http://websecurity.com.ua/5077/

Best wishes & regards,
MustLive
Администратор сайта
http://websecurity.com.ua