Drupal Views远程权限提升漏洞

日期: 2012/09/01 | 标签: | 游览:331

漏洞起因
设计错误
危险等级

影响系统
Drupal Views 6.X.2.14
Drupal Views 6.X.2.13
Drupal Views 6.x-2.9
Drupal Views 6.x-2.8
Drupal Views 6.x-2.6
Drupal Views 6.x-2.6
Drupal Views 6.x-2.5
Drupal Views 6.x-2.2
Drupal Views 6.X-2.12
Drupal Views 6.x-2.11
Drupal Views 6.x-2.10
Drupal Views 6.X-2.1
Drupal Views 6.x-2.0

不受影响系统

危害
远程攻击者可以利用漏洞提升权限。

攻击所需条件
攻击者必须访问Drupal Views。

漏洞信息
Drupal Views是一款智能的查询生成器,并为网站设计者提供了一种灵活的方式来控制网站内容的显示。
当一个视图有uid参数并在此参数上执行校验时Drupal Views模块在某些情况下不正确修改全局用户对象,攻击者可以利用漏洞提升权限。

测试方法

厂商解决方案
Drupal Views 6.x-2.16已经修复此漏洞,建议用户下载使用:
http://drupal.org/node/1341504

漏洞提供者
Derek Wright of the Drupal Security Team and John Preto

评论关闭。