Vulnerabilidad en Drupal (CVE-2007-6752)

Gravedad CVSS v2.0:

MEDIA

Tipo:

CWE-352 Falsificación de petición en sitios cruzados (Cross-Site Request Forgery)

Fecha de publicación:

28/03/2012

Última modificación:

11/04/2025

Descripción

** DISCUTIDO ** Vulnerabilidad de falsificación de petición en sitios cruzados (CSRF) en Drupal 7.12 y anteriores permite a atacantes remotos secuestrar la autenticación de los usuarios arbitrarios para solicitudes que terminan una sesión a través de la URI usuario / cierre de sesión. NOTA: el vendedor se opone a la importancia de esta cuestión, teniendo en cuenta el "beneficio de la seguridad frente a la complejidad y la plataforma de impacto en el rendimiento" y la conclusión de que un cambio en el comportamiento de cierre de sesión no está previsto porque "la mayoría de los sitios no vale la pena la compensación."

Impacto

Vector 2.0

AV:N/AC:M/Au:N/C:P/I:P/A:P CVSS v2.0 Severidad y Métricas:

Puntuación base: 6.80 MEDIA
Vector: AV:N/AC:M/Au:N/C:P/I:P/A:P

Vector de acceso (AV): A través de red
Complejidad de acceso (AC): Medio
Autenticación (Au): Ninguno
Impacto a la confidencialidad (C): Físico
Impacto a la integridad (I): Físico
Impacto a la disponibilidad (A): Físico

Puntuación base 2.0

6.80

Gravedad 2.0

MEDIA

Productos y versiones vulnerables

CPE	Desde	Hasta
cpe:2.3:a:drupal:drupal::::::::		7.12 (incluyendo)
cpe:2.3:a:drupal:drupal:4.0:::::::*
cpe:2.3:a:drupal:drupal:4.0.0:::::::*
cpe:2.3:a:drupal:drupal:4.1.0:::::::*
cpe:2.3:a:drupal:drupal:4.2.0_rc:::::::*
cpe:2.3:a:drupal:drupal:4.4:::::::*
cpe:2.3:a:drupal:drupal:4.4.0:::::::*
cpe:2.3:a:drupal:drupal:4.4.1:::::::*
cpe:2.3:a:drupal:drupal:4.4.2:::::::*
cpe:2.3:a:drupal:drupal:4.4.3:::::::*
cpe:2.3:a:drupal:drupal:4.5:::::::*
cpe:2.3:a:drupal:drupal:4.5.0:::::::*
cpe:2.3:a:drupal:drupal:4.5.1:::::::*
cpe:2.3:a:drupal:drupal:4.5.2:::::::*
cpe:2.3:a:drupal:drupal:4.5.3:::::::*

Para consultar la lista completa de nombres de CPE con productos y versiones, ver esta página

CPE	Desde	Hasta
cpe:2.3:a:drupal:drupal::::::::		7.12 (incluyendo)
cpe:2.3:a:drupal:drupal:4.0:::::::*
cpe:2.3:a:drupal:drupal:4.0.0:::::::*
cpe:2.3:a:drupal:drupal:4.1.0:::::::*
cpe:2.3:a:drupal:drupal:4.2.0_rc:::::::*
cpe:2.3:a:drupal:drupal:4.4:::::::*
cpe:2.3:a:drupal:drupal:4.4.0:::::::*
cpe:2.3:a:drupal:drupal:4.4.1:::::::*
cpe:2.3:a:drupal:drupal:4.4.2:::::::*
cpe:2.3:a:drupal:drupal:4.4.3:::::::*
cpe:2.3:a:drupal:drupal:4.5:::::::*
cpe:2.3:a:drupal:drupal:4.5.0:::::::*
cpe:2.3:a:drupal:drupal:4.5.1:::::::*
cpe:2.3:a:drupal:drupal:4.5.2:::::::*
cpe:2.3:a:drupal:drupal:4.5.3:::::::*

Vulnerabilidad en Drupal (CVE-2007-6752)

Descripción

Impacto

Productos y versiones vulnerables

Referencias a soluciones, herramientas e información