Drupal多个模块跨站脚本及SQL注入漏洞
添加时间:
2009-03-27
系统编号:
WAVDB-01364
BugCVE: CVE-2009-1034 CVE-2009-1035 CVE-2009-1036 CVE-2009
BUGTRAQ: 34172 34171 34170 34173 34168
影响版本:
Drupal
程序介绍:
2009-03-27
系统编号:
WAVDB-01364
BugCVE: CVE-2009-1034 CVE-2009-1035 CVE-2009-1036 CVE-2009
BUGTRAQ: 34172 34171 34170 34173 34168
影响版本:
Drupal
程序介绍:
Drupal是一款开放源码的内容管理平台。
漏洞分析:
Drupal所使用的Content Construction Kit、Printer, e-mail and PDF versions、Tasklist和Plus 1模块没有正确地用户提供参数,远程攻击者可以通过向上述模块提交恶意的HTTP或SQL查询请求执行跨站脚本、SQL注入等各种攻击。
解决方案:
厂商补丁:
Drupal
------
目前厂商已经发布了升级补丁以修复这个安全问题,请到厂商的主页下载:
http://www.drupal.org/
信息来源:
<*来源:John Morahan
链接:http://secunia.com/advisories/32572/
http://drupal.org/node/406520
http://secunia.com/advisories/34374/
http://drupal.org/node/406516
http://secunia.com/advisories/34376/
http://drupal.org/node/406316
http://secunia.com/advisories/34378/
http://drupal.org/node/406314
*>