- 编号:DRUPAL-SA-2008-052
- 项目:Link To Us(第三方模块)
- 版本:Drupal 5.x
- 日期:2008年9月17日
- 安全风险:危险
- 攻击点:远程
- 漏洞:跨站点脚本
描述
Link To Us(链接到我们)模块创建一个页面,用来展示上传的横幅,其它站长可以使用这些横幅链接到你的Drupal站点上。这个模块将根据节点标题,分类术语或者其它页面,来创建良好格式的SEO链接---带有完整的标题、alt和anchor文本。
不幸的是,这个模块没有进行正确的安全检查,从而允许恶意用户向页面插入任意的HTML和脚本。更多关于跨站点脚本(XSS)攻击的信息,参看Wikipedia的对应页面。
影响版本
- 对于Drupal 5.x的Link To Us, 5.x-1.1以前的版本
注意:6.x开发版本也存在这个问题。对这个问题的修订,将在12小时内出现在下一个6.x开发快照中。
Drupal内核不受影响。 If you do not use the contributed Talk module, there is nothing you need to do.如果你没有用到Link To Us模块的话,那么你就不用担心了.
解决方案
安装最新版本:
- 对于Drupal 5.x,把Link To Us升级到Link To Us 5.x-1.1
报告人
- Justin Klein Keane
联系方式
对于Drupal安全问题,你可以通过security@drupal.org给我们发送email,或者通过http://drupal.org/contact在线联系我们。
原文作者: Heine,发表日期: 2008年9月17日19:13
相关链接: http://drupal.org/node/309861 , http://zhupou.cn
