You are here

SA-2008-061 - Everyblog –多个漏洞

g089h515r806 的头像
Submitted by g089h515r806 on 星期四, 2008-10-09 15:47
  • 编号:DRUPAL-SA-2008-061
  • 项目:EveryBlog (第三方模块)
  • 版本:drupal5.x和 drupal6.x
  • 日期:2008年10月8日
  • 安全风险:极高
  • 攻击点:远程
  • 漏洞:SQL注入,跨站点脚本(XSS),特权升级,绕过安检

描述

这个模块没有遵从Drupal最佳实践,在数据库查询和处理用户提交的数据时存在漏洞,以至于导致了不少的漏洞。比如,一个未授权的用户,有可能以授权用户甚至管理员的身份登录进来。

影响版本

  • EveryBlog的所有版本

Drupal核心不受影响。 If you do not use the contributed Talk module, there is nothing you need to do.如果你没有用到EveryBlog模块的话,那么你就不用担心了.

 

解决方案

请将这个模块禁用并从你的站点中删除。

这个模块已经被从Drupal.org上扫地出门了。

 

报告人

  • 特权升级是由Dan Hassel报告的
  • SQL注入,跨站点脚本(XSS),绕过安检是由Drupal安全小组成员报告的。

 

联系方式

对于Drupal安全问题,你可以通过security at drupal.org (at替换为@)给我们发送email,或者通过http://drupal.org/contact在线联系我们。

 

原文作者: Amazon ,发表日期: 2008年10月8日21:45

相关链接: http://drupal.org/node/318746 , http://zhupou.cn

 

 

Drupal版本: