受影响系统:
Drupal Memcache module 6.x
Drupal Memcache module 5.x
描述:
CVE ID: CVE-2010-5275
Drupal是一款开放源码的内容管理平台。
Drupal 5.x-1.10、6.x-1.6版本的Memcache模块内memcache_admin存在跨站脚本执行漏洞,可允许远程攻击者注入任意Web脚本或HTML。
1)处理$user对象时存在错误,可导致用户重新登录之前无法辨认角色更改。
2) 通过某些参数传递的输入没正确过滤即返回给用户,可被利用在受影响站点的用户浏览器中执行任意HTML和脚本代码。
<*来源:Justin James Grevich
链接:http://secunia.com/advisories/41663
http://drupal.org/node/927016
*>
建议:
厂商补丁:
Drupal
——
Drupal已经为此发布了一个安全公告(927016)以及相应补丁:
927016:SA-CONTRIB-2010-098 – Memcache – Multiple vulnerabilities
评论关闭。