Drupal Secure Pages Module HTTP重定向信息泄漏漏洞

漏洞起因
设计错误
危险等级

影响系统
Drupal Secure Pages Module 6.x-2.x

不受影响系统

危害
远程攻击者可以利用漏洞可获取敏感信息。
CVSSv2:

攻击所需条件
攻击者必须访问Drupal Secure Pages模块。

漏洞信息
Drupal是使用PHP语言编写的开源内容管理框架,它由内容管理系统和PHP开发框架共同构成。
Drupal Secure Pages模块用于管理HTTP和HTTPS页面重定向,处理URL路径匹配存在缺陷,允许某些使用HTTPS的页面和表单通过明文HTTP传送,导致敏感信息泄漏。

测试方法
安全建议

厂商解决方案
Drupal Secure Pages Module 6.x-2.0已经修复该漏洞,建议用户下载更新:
http://drupal.org/project/securepages

漏洞提供者
Balazs Nagykekesi

评论关闭。