- 编号:DRUPAL-SA-2008-071
- 项目:User Karma
- 版本:drupal5.x和 drupal6.x
- 日期:2008年11月26日
- 安全风险:中
- 攻击点:远程
- 漏洞:SQL注入,跨站点脚本RSS
描述
用户Karma模块用来展示和管理用户的karma点数. Karma点数的计算方式是由其它模块定义的,这些模块需要事先用户karma模块提供的钩子.
不幸的是,用户Karma模块允许管理员输入一列节点类型和voting API数值,这些数据都没有经过处理就直接插入到了SQL语句中,这样恶意用户就可以利用这一点使用SQL注入进行攻击.由于一些展示信息没有经过处理,这个模块还包括一个XSS漏洞
影响版本
- 对于Drupal 5.x,所有低于5.x-1.13的User Karma
- 对于Drupal 6.x,所有低于6.x-1.0-beta1的User Karma
Drupal核心不受影响。 If you do not use the contributed Talk module, there is nothing you need to do.如果你没有用到User Karma模块的话,那么你就不用担心了.
解决方案
安装最新版本
- 对于Drupal 5.x版的User Karma,升级到 5.x-1.13
- 对于Drupal 6.x版的User Karma,升级到6.x-1.0-beta1
可参看用户Karma项目页面
报告人
Drupal安全小组的Stéphane Corlosquet (scor)
联系方式
对于Drupal安全问题,你可以通过security at drupal.org (at替换为@)给我们发送email,或者通过http://drupal.org/contact在线联系我们。
原文作者: scor ,发表日期: 2008年11月26日20:47
