漏洞起因
设计错误
危险等级
低
影响系统
Drupal < 7.11
Drupal < 6.23
不受影响系统
危害
远程攻击者可以利用漏洞绕过安全限制,获得敏感信息或执行未授权操作。
攻击所需条件
攻击者必须访问Drupal Core。
漏洞信息
Drupal是一款开放源码的内容管理平台。
Drupal Core存在多个安全漏洞:
CVE-2012-0826:
CNCVE ID:CNCVE-20120826
CNCVE-20120825
CNCVE-20120827
CNCVE-20120826
Aggregator模块存在一个跨站请求伪造漏洞,某些服务可导致拒绝服务攻击。
CVE-2012-0825:
CNCVE ID:CNCVE-20120826
CNCVE-20120825
CNCVE-20120827
CNCVE-20120826
CNCVE-20120825
某些OpenID没有校验SREG和AX中签名属性,允许攻击者修改用户信息。
CVE-2012-0827:
CNCVE ID:CNCVE-20120826
CNCVE-20120825
CNCVE-20120827
CNCVE-20120826
CNCVE-20120825
CNCVE-20120827
文件模块存在访问绕过问题,允许用户下载原来不能查看访问的附件。
测试方法
厂商解决方案
Drupal 7.11和6.23已经修复此漏洞,建议用户下载使用:
http://drupal.org/
漏洞提供者
Dylan Tack, Rui Wang, Shuo Chen, Xiao Feng Wang, David Rothstein, and Sascha Grossenbacher
评论关闭。