微点交流论坛

标题: Drupal FileField Module任意文件被上传的漏洞 [打印本页]

作者: pioneer 时间: 2010-8-9 09:47 标题: Drupal FileField Module任意文件被上传的漏洞

来源

secunia.com

软件

Drupal FileField Module 6.x

描述

字段配置页面没有保存导致新文件字段的默认扩展名没有正确创建，这可导致上传任意文件到webroot中的一个目录
成功执行后可执行任意代码，但是需要"create"或"edit"的文件字段许可
该漏洞在V6.x-3.3之前的版本中已经报告

解决方案

更新到V6.x-3.3或最新

欢迎光临微点交流论坛 (http://bbs.micropoint.com.cn/)

bbs.micropoint.com.cn