SA-2008-056 - Simplenews -跨站点脚本

• 编号：DRUPAL-SA-2008-056
• 项目：Simplenews（第三方模块）
• 版本：Drupal 5.x, 6.x
• 日期：2008年9月24日
• 安全风险:低
• 攻击点：远程
• 漏洞：跨站点脚本

描述

Simplenews模块用于想订阅者发布和发送新闻通讯。新闻通讯的分类没有完全进行合适的安全检查。这就允许了具有"administer taxonomy"（管理分类）权限的用户可以向站点插入任意的HTML和脚本代码。Wikipedia对跨站点脚本（XSS）有进一步的解释。

影响版本

• 对于Drupal 5.x的Simplenews，所有低于5.x-1.5的版本
• 对于Drupal 6.x的Simplenews，所有低于6.x-1.0-beta4的版本

Drupal内核不受影响。 If you do not use the contributed Talk module, there is nothing you need to do.如果你没有用到Simplenews模块的话，那么你就不用担心了.

解决方案

安装最新版本

• 对于Drupal 5.x需将Simplenews升级到Simplenews 5.x-1.5
• 对于Drupal 6.x需将Simplenews升级到Simplenews 6.x-1.0-beta 4

注意：测试版和开发办不推荐用于在线站点上。

参看Simplenews项目页面

报告人

• 模块维护者Erik Stielstra (Sutharsan)。

联系方式

对于Drupal安全问题，你可以通过security at drupal.org (at替换为@)给我们发送email，或者通过http://drupal.org/contact在线联系我们。

原文作者: Heine,发表日期: 2008年9月24日18:58

相关链接: http://drupal.org/node/312944  , http://zhupou.cn