漏洞起因
设计错误
危险等级
中
影响系统
Drupal Views 6.X.2.14
Drupal Views 6.X.2.13
Drupal Views 6.x-2.9
Drupal Views 6.x-2.8
Drupal Views 6.x-2.6
Drupal Views 6.x-2.6
Drupal Views 6.x-2.5
Drupal Views 6.x-2.2
Drupal Views 6.X-2.12
Drupal Views 6.x-2.11
Drupal Views 6.x-2.10
Drupal Views 6.X-2.1
Drupal Views 6.x-2.0
不受影响系统
危害
远程攻击者可以利用漏洞提升权限。
攻击所需条件
攻击者必须访问Drupal Views。
漏洞信息
Drupal Views是一款智能的查询生成器,并为网站设计者提供了一种灵活的方式来控制网站内容的显示。
当一个视图有uid参数并在此参数上执行校验时Drupal Views模块在某些情况下不正确修改全局用户对象,攻击者可以利用漏洞提升权限。
测试方法
厂商解决方案
Drupal Views 6.x-2.16已经修复此漏洞,建议用户下载使用:
http://drupal.org/node/1341504
漏洞提供者
Derek Wright of the Drupal Security Team and John Preto
评论关闭。