Drupal UTF-7插入脚本漏洞

软件: Drupal 5.x
Drupal 6.x
 描述:
漏洞报告了,网站可以利用恶意用户进行脚本插入攻击。

用户提供了投入是没有正确地过滤,然后使用。这可以被用来插入任意HTML和脚本代码,这将是执行在用户的浏览器会在背景下,受影响网站的恶意数据时,对其看法和解释为UTF – 7 。

成功地利用,需要有效的用户凭据和特权编辑网页的HTML出口或“administer taxonomy”的权限。

解决方案:
更新Drupal 6月12日或Drupal 5月18日,或适用于修补程序。

http://ftp.drupal.org/files/projects/drupal-6.12.tar.gz
http://ftp.drupal.org/files/projects/drupal-5.18.tar.gz

http://drupal.org/files/sa-core-2009-006/SA-CORE-2009-006-6.11.patch
http://drupal.org/files/sa-core-2009-006/SA-CORE-2009-006-5.17.patch

发表评论?

0 条评论。

发表评论