漏洞起因
输入验证错误
危险等级
中
影响系统
Drupal Javascript Tool 7.x-1.x
不受影响系统
危害
远程攻击者可以利用漏洞获得敏感文件信息或读写系统文件。
攻击所需条件
攻击者必须访问Drupal Javascript Tool模块。
漏洞信息
Drupal Javascript Tool模块可使管理员在线编辑Javascript文件。
Drupal Javascript Tool模块没有保护其菜单路径,此菜单包含所有javascript文件的敏感信息和内容。另外此模块也没有校验文件名,可导致读/写服务器上的任意文件。
测试方法
厂商解决方案
Drupal Javascript Tool 7.x-1.7已经修复此漏洞,建议用户下载使用:
http://www.drupal.org/
漏洞提供者
Klaus Purer
评论关闭。