微点交流论坛

标题: Drupal "taxonomy_select_nodes()"可被SQL注入攻击 [打印本页]

作者: pioneer 时间: 2007-12-11 10:15 标题: Drupal "taxonomy_select_nodes()"可被SQL注入攻击

来源

secunia.com

软件名

Drupal 4.x
Drupal 5.x

描述

这可恶意进行SQL注入攻击
"taxonomy_select_nodes()"函数中的输入在SQL查询使用前没有被准确过滤，这可通过注入任意SQL代码来操控SQL查询

成功执行需要传递没有过滤的数据到安装的 "taxonomy_select_nodes()"模块上，例如：
* taxonomy_menu
* ajaxLoader
* ubrowser

该漏洞在Drupal 4.7.x--4.7.9 和Drupal 5.x到5.4中已经报告

解决方案

升级到V4.7.9 或 5.4

欢迎光临微点交流论坛 (http://bbs.micropoint.com.cn/)

bbs.micropoint.com.cn