- 编号:DRUPAL-SA-2008-051
- 项目: Mailsave(第三方模块)
- 版本:Drupal 5.x, 6.x
- 日期:2008年9月17日
- 安全风险:危险
- 攻击点:远程
- 漏洞:跨站点脚本
描述
Mailsave是一个用来与mailhandler模块交互的模块。它将找到通过email发送到站点的文件,并将其中的内容保存到节点中。
模块对mimetype没有进行安全检查,这样恶意用户就可以通过上传文件来进行跨站点脚本(XSS)攻击了。
影响版本
- 对于Drupal 5.x的Mailsave, 5.x-3.3以前的版本
- 对于Drupal 6.x的Mailsave, 6.x-1.3以前的版本
Drupal内核不受影响。 If you do not use the contributed Talk module, there is nothing you need to do.如果你没有用到Mailsave模块的话,那么你就不用担心了.
解决方案
安装最新版本:
- 对于Drupal 5.x,把Mailsave升级到Mailsave 5.x-3.3
- 对于Drupal 6.x,把Mailsave升级到Mailsave 6.x-1.3
参看Mailsave项目页面。
报告人员
- Mark Burdett (mfb)
联系方式
对于Drupal安全问题,你可以通过security@drupal.org给我们发送email,或者通过http://drupal.org/contact在线联系我们。
原文作者: Heine,发表日期: 2008年9月17日16:31
