- 编号:DRUPAL-SA-2008-053
- 项目:Answers(第三方模块)
- 版本:Drupal 5.x
- 日期:2008年9月18日
- 安全风险:危险
- 攻击点:远程
- 漏洞:跨站点脚本
描述
Answers模块允许站长为网站添加一个你问我答这样的栏目。
不幸的是,这个模块没有进行正确的安全检查,从而允许那些具有发布答案权限的恶意用户,向页面插入任意的HTML和脚本。更多关于跨站点脚本(XSS)攻击的信息,参看Wikipedia的对应页面。
影响版本
- Answers的所有版本
Drupal内核不受影响。 If you do not use the contributed Talk module, there is nothing you need to do.如果你没有用到Answers模块的话,那么你就不用担心了.
解决方案
我们已经将这个模块从Drupal.org上删除了。所以你需要禁用和卸载这个模块。
报告人
- The vulnerability was publicly disclosed by Justin Klein Keane
- 这个漏洞是由drupal用户Justin Klein Keane公开披露了。
联系方式
对于Drupal安全问题,你可以通过security@drupal.org给我们发送email,或者通过http://drupal.org/contact在线联系我们。
原文作者: Heine,发表日期: 2008年9月18日13:31
相关链接: http://drupal.org/node/310223 , http://zhupou.cn
