- 编号:DRUPAL-SA-2008-069
- 项目:内容构建工具集CCK(第三方模块)
- 版本:drupal5.x和 drupal6.x
- 日期:2008年11月5日
- 安全风险:低
- 攻击点:远程
- 漏洞:跨站点脚本RSS
描述
CCK允许特定的授权用户使用web浏览器为内容类型添加自定义的字段。
在CCK的管理界面,一些字段标签和内容类型的名字,在显示以前,没有经过合适的过滤。具有“管理内容”权限的恶意用户,可以利用这个问题,向页面中,插入任意的HTML和脚本代码。使用跨站点脚本攻击RSS,恶意用户可以利用这一点获取更高的管理权限。
只有当,你网站的用户角色比较复杂的时候,也就是除了管理员以外,你还要授予特定角色"administer content"权限的时候,才会遇到这个问题,其它的时候都是安全的。
影响版本
- 对于Drupal 5.x,所有低于5.x-1.10的CCK
- 对于Drupal 6.x,所有低于6.x-2.0的CCK(包括所有的候选版本)
Drupal核心不受影响。 If you do not use the contributed Talk module, there is nothing you need to do.如果你没有用到CCK模块的话,那么你就不用担心了.
解决方案
安装最新版本
- 对于Drupal 5.x,安装CK 5.x-1.10
- 对于Drupal 6.x,安装CCK 6.x-2.0
参看CCK项目页面
报告人
这个跨站点脚本问题是由CCK的维护人员报告的。
联系方式
对于Drupal安全问题,你可以通过security at drupal.org (at替换为@)给我们发送email,或者通过http://drupal.org/contact在线联系我们。
原文作者: Damien Tournoud ,发表日期: 2008年11月5日18:51
