Drupal Core存在多个安全漏洞

日期: 2012/02/04 | 标签:drupal | 游览：437

漏洞起因
设计错误
危险等级
低

影响系统
Drupal < 7.11
Drupal < 6.23

不受影响系统

危害
远程攻击者可以利用漏洞绕过安全限制，获得敏感信息或执行未授权操作。

攻击所需条件
攻击者必须访问Drupal Core。

漏洞信息
Drupal是一款开放源码的内容管理平台。
Drupal Core存在多个安全漏洞：
CVE-2012-0826：
CNCVE ID：CNCVE-20120826
CNCVE-20120825
CNCVE-20120827
CNCVE-20120826

Aggregator模块存在一个跨站请求伪造漏洞，某些服务可导致拒绝服务攻击。
CVE-2012-0825：
CNCVE ID：CNCVE-20120826
CNCVE-20120825
CNCVE-20120827
CNCVE-20120826
CNCVE-20120825

某些OpenID没有校验SREG和AX中签名属性，允许攻击者修改用户信息。
CVE-2012-0827：
CNCVE ID：CNCVE-20120826
CNCVE-20120825
CNCVE-20120827
CNCVE-20120826
CNCVE-20120825
CNCVE-20120827

文件模块存在访问绕过问题，允许用户下载原来不能查看访问的附件。

测试方法

厂商解决方案
Drupal 7.11和6.23已经修复此漏洞，建议用户下载使用：
http://drupal.org/

漏洞提供者
Dylan Tack, Rui Wang, Shuo Chen, Xiao Feng Wang, David Rothstein, and Sascha Grossenbacher

← JBoss Operations Network多个安全绕过漏洞

Apple Mac OS X 10.7.3之前版本CoreText释放后重用代码执行漏洞 →

ZeroBox Vulnerability Database

坚持！我们将做的更好！

Drupal Core存在多个安全漏洞

评论关闭。