- 编号:DRUPAL-SA-2008-066
- 项目:Shindig-Integrator(第三方模块)
- 版本:drupal5.x
- 日期:2008年10月15日
- 安全风险:低
- 攻击点:远程
- 漏洞:多个安全漏洞
描述
Shindig-Integrator用于将open social (开放社交网络)Shindig容器与Drupal相集成.
这个模块包含了无数个漏洞.下面是其中的几个.
- 恶意用户可以向特定模块生成的页面插入任意的HTML和脚本代码.使用跨站点脚本攻击,恶意用户可以获取更多的管理权限.
- 模块没有对由模块生成的页面进行访问限制.
影响版本
- Shindig-Integrator的所有版本
Drupal核心不受影响。 如果你没有用到Shindig-Integrator模块的话,那么你就不用担心了.
解决方案
没有解决方案可用.请你禁用该模块并将其从站点删除.
报告人
- 这个安全漏洞是由Tony Mobily (mercmobily)报告的.
联系方式
对于Drupal安全问题,你可以通过security at drupal.org (at替换为@)给我们发送email,或者通过http://drupal.org/contact在线联系我们。
原文作者: Heine ,发表日期: 2008年10月15日19:02
