Vulnerabilidad en El módulo Janrain Engage (CVE-2011-0771)
Gravedad CVSS v2.0:
MEDIA
Tipo:
CWE-20
Validación incorrecta de entrada
Fecha de publicación:
04/02/2011
Última modificación:
11/04/2025
Descripción
El módulo Janrain Engage (anteriormente RPX) versiones 6.x hasta 1.3 para Drupal, no comprueba el archivo para una imagen de perfil, lo que permite a los usuarios identificados remotos conducir ataques de tipo cross-site scripting (XSS) y posiblemente ejecutar código PHP arbitrario para causar que un avatar especialmente diseñado se descargue desde un sitio de proveedor de inicio de sesión externo.
Impacto
Puntuación base 2.0
6.80
Gravedad 2.0
MEDIA
Productos y versiones vulnerables
| CPE | Desde | Hasta |
|---|---|---|
| cpe:2.3:a:janrain:rpx:6.x-1.3:*:*:*:*:*:*:* | ||
| cpe:2.3:a:drupal:drupal:-:*:*:*:*:*:*:* |
Para consultar la lista completa de nombres de CPE con productos y versiones, ver esta página
Referencias a soluciones, herramientas e información
- http://drupal.org/node/1033154
- http://osvdb.org/70623
- http://secunia.com/advisories/42980
- http://www.securityfocus.com/bid/45926
- https://exchange.xforce.ibmcloud.com/vulnerabilities/64847
- https://exchange.xforce.ibmcloud.com/vulnerabilities/64848
- http://drupal.org/node/1033154
- http://osvdb.org/70623
- http://secunia.com/advisories/42980
- http://www.securityfocus.com/bid/45926
- https://exchange.xforce.ibmcloud.com/vulnerabilities/64847
- https://exchange.xforce.ibmcloud.com/vulnerabilities/64848