Un error de diseño en el módulo Answers de Ticklespace para Drupal permite la ejecución de código por inyección debido a una falta de comprobación en los datos insertados por el usuario desde un navegador, pudiendo afectar al contenido generado por Drupal.

El atacante puede suministrar mediante un navegador, un script que se ejecutaría en el contexto del navegador, permitiendo al atacante robar datos de las cookies de autentificación o credenciales, y controlar el sitio en su contenido. Otros ataques tambien podrían ser posibles.

Esta vulnerabilidad afecta a la versión Answers 5.x-1.x-dev aunque no se ha verificado con otras versiones. No existe respuesta del desarrollador.

Fuente: SecurityFocus