软件: Drupal 5.x
Drupal 6.x
描述:
漏洞报告了,网站可以利用恶意用户进行脚本插入攻击。
用户提供了投入是没有正确地过滤,然后使用。这可以被用来插入任意HTML和脚本代码,这将是执行在用户的浏览器会在背景下,受影响网站的恶意数据时,对其看法和解释为UTF – 7 。
成功地利用,需要有效的用户凭据和特权编辑网页的HTML出口或“administer taxonomy”的权限。
解决方案:
更新Drupal 6月12日或Drupal 5月18日,或适用于修补程序。
更新Drupal 6月12日或Drupal 5月18日,或适用于修补程序。
http://ftp.drupal.org/files/projects/drupal-6.12.tar.gz
http://ftp.drupal.org/files/projects/drupal-5.18.tar.gz
http://drupal.org/files/sa-core-2009-006/SA-CORE-2009-006-6.11.patch
http://drupal.org/files/sa-core-2009-006/SA-CORE-2009-006-5.17.patch
0 条评论。