- 编号:DRUPAL-SA-2008-055
- 项目:Stock(第三方模块)
- 版本:Drupal 6.x
- 日期:2008年9月24日
- 安全风险:中等危险
- 攻击点:远程
- 漏洞:跨站点脚本
描述
Stock(股票)模块允许从不同的股票交易市场上查询股票价格以及交易量。
菜单权限上的一个疏忽,导致了任何用户都可以修改股票报价页面顶部的标题文本。由于这一文本没有进行正确的安全检查,只有站长修改它时,才是安全的。由于这一漏洞,使得恶意用户可以向页面中插入任意的HTML和脚本代码。Wikipedia对跨站点脚本(XSS)有进一步的解释。
影响版本
- 对于Drupal 6.x的Stock版本,所有低于6.x-1.0的
Drupal内核不受影响。 If you do not use the contributed Talk module, there is nothing you need to do.如果你没有用到Stock模块的话,那么你就不用担心了.
解决方案
安装最新版本
- 对于Drupal 6.x,你需要将Stock升级到Stock 6.x-1.0。
参看Stock项目页面。
报告人
- Greg Knaddison (greggles)
联系方式
对于Drupal安全问题,你可以通过security at drupal.org (at替换为@)给我们发送email,或者通过http://drupal.org/contact在线联系我们。
原文作者: Heine,发表日期: 2008年9月24日18:13
