SA-2008-053 - Answers –跨站点脚本
- 编号:DRUPAL-SA-2008-053
- 项目:Answers(第三方模块)
- 版本:Drupal 5.x
- 日期:2008年9月18日
- 安全风险:危险
- 攻击点:远程
- 漏洞:跨站点脚本
SA-2008-052 - Link To Us -跨站点脚本
- 编号:DRUPAL-SA-2008-052
- 项目:Link To Us(第三方模块)
- 版本:Drupal 5.x
- 日期:2008年9月17日
- 安全风险:危险
- 攻击点:远程
- 漏洞:跨站点脚本
Drupal版本:
SA-2008-051 - Mailsave –跨站点脚本
- 编号:DRUPAL-SA-2008-051
- 项目: Mailsave(第三方模块)
- 版本:Drupal 5.x, 6.x
- 日期:2008年9月17日
- 安全风险:危险
- 攻击点:远程
- 漏洞:跨站点脚本
SA-2008-050 - Mailhandler – SQL注入
- 编号: DRUPAL-SA-2008-050
- 项目: Mailhandler(第三方模块)
- 版本: Drupal5.x, 6.x
- 日期:2008年9月17日
- 安全风险:高度危险
- 攻击点: 远程
- 漏洞: SQL注入
SA-2008-049 – Talk – 多个漏洞
- 编号: DRUPAL-SA-2008-049
- 项目:Talk(第三方模块)
- 版本: Drupal5.x, 6.x
- 日期:2008年9月17日
- 安全风险: 中级
- 攻击点: 远程
- 漏洞:跨站点脚本,绕过节点访问控制
SA-2008-048-b - CCK - Cross site scripting
• 编号: DRUPAL-SA-2008-048-b
• 项目:CCK(第三方模块)
• 版本: 5.x
• 日期: 2008年9月- 04
• 安全风险:不关键
• 攻击点: 远程
• 漏洞:跨站点脚本
更新
此安全公告是对SA-2008-048公告的更新,原公告建议将Drupal 5.x的CCK升级到5.x-1.8.现在你应该升级到5.x-1.9.
描述
CCK 允许某些特权用户通过浏览器为节点类型添加新的字段.
一些输入字段设置(字段标签,帮助文本, 允许的值),在没有经过合适的过滤就被展示了出来.具有“管理内容”权限的恶意用户,可以利用这一点,向页面中插入任意的HTML和脚本代码。这样,恶意用户就可以使用XSS攻击来获取更多的权限。
只有当你的站点管理员比较多时,有多个管理员账号时,这才是一个问题,如果你只有超级用户这1个管理员的话,就不会遇到这个问题。
Joe Tsui的drupal站点
joetsuihk是国内(香港)drupal界的元老了,上面的这个是他的个人网站,里面放置了大量的原创drupal技术文章,http://www.joetsuihk.com/drupal,不知道Joe Tsui是不是对外提供技术培训,刚开始的许多模块的介绍,方法的使用,都是从这里学习的。
页面
