添加时间:
2008-10-04

系统编号:
WAVDB-01187
BUGTRAQ: 29953

影响版本:
Drupal Suggested Terms 5.x-1.1

程序介绍:

Drupal是一款开放源码的内容管理平台。

漏洞分析:

Drupal的suggested terms模块用于根据用户已提交过的术语提供可自由标记的分类字段。该模块未经正确地过滤便在可点击的列表中显示了分类术语，因此能够创建新的术语条目的用户可以向某些编辑页面中注入任意HTML和脚本代码，当用户查看所推荐的分类术语时就会在浏览器会话中执行这些代码。

解决方案:
厂商补丁：
Drupal
------
目前厂商已经发布了升级补丁以修复这个安全问题，请到厂商的主页下载：
http://www.drupal.org/

信息来源:
<*来源：Erich C. Beyrent
链接：http://secunia.com/advisories/30846/
http://drupal.org/node/274919
*>