SA-2008-075 - Views – SQL注入

• 编号：DRUPAL-SA-2008-075
• 项目：Views
• 版本：drupal6.x
• 日期：2008年12月16日
• 安全风险:中
• 攻击点：远程
• 漏洞：SQL注入

描述

Views模块为Drupal网站设计者提供了一个灵活的方法，用来控制内容的列表显示。

当对CCK字段使用外漏的过滤器时，Views没有对过滤条件中输入的值进行合适的过滤。恶意用户就可以利用这一点，进行SQL注入攻击了。

影响版本

• 对于Drupal 6.x，所有低于6.x-2.2的Views

Drupal核心不受影响。 If you do not use the contributed Talk module, there is nothing you need to do.如果你没有用到Views模块的话，那么你就不用担心了.

解决方案

安装最新版本

• 对于Drupal 6.x版的Views，升级到6.x-2.2

可参看 Views项目页面

报告人

• Peter Fisera (goatvirus)
• Mariano D'Agostino (dagmar)

联系方式

对于Drupal安全问题，你可以通过security at drupal.org (at替换为@)给我们发送email，或者通过http://drupal.org/contact在线联系我们。

原文作者: Drupal Security Team,发表日期: 2008年12月17日19:14

相关链接:  http://drupal.org/node/348321 , http://zhupou.cn