- 编号:DRUPAL-SA-2008-070
- 项目:Comment Mail(评论邮件)
- 版本:drupal5.x
- 日期:2008年11月26日
- 安全风险:中
- 攻击点:远程
- 漏洞:跨站点伪造请求(Cross site request forgery)
描述
评论邮件模块,作用就是,当有新的评论发布时,将向站长发送一封电子邮件.在电子邮件中,站长可以快速的批准,编辑,删除评论,或者禁止评论者的IP地址.
不幸的是,一些链接可受到跨站点伪造请求攻击,这使得恶意用户可以利用这一点,强制站长(或者任何具有”管理评论权限”的用户)糊里糊涂的禁止IP地址,或者批准或者删除任何评论.
影响版本
- 对于Drupal 5.x,所有低于5.x-1.10的Comment Mail
Drupal核心不受影响。 If you do not use the contributed Talk module, there is nothing you need to do.如果你没有用到Comment Mail模块的话,那么你就不用担心了.
解决方案
安装最新版本
- 如果你装了Comment Mail的话,需要将其升级到Comment Mail 5.x-1.1
可参看评论邮件项目页面.
报告人
模块维护者Maarten van Grootel (maartenvg)
联系方式
对于Drupal安全问题,你可以通过security at drupal.org (at替换为@)给我们发送email,或者通过http://drupal.org/contact在线联系我们。
原文作者: scor ,发表日期: 2008年11月26日18:40
