pioneer
超级版主
积分 4563
发帖 4545
注册 2007-7-16
来自 BJ
|
#1 Drupal Project Issue Tracking Module上传文件和脚本注入的问题
来源
secunia.com
软件名
Drupal Project issue tracking Module 5.x
Drupal Project issue tracking Module 4.x
描述
1)上传文件的扩展名在新建一个issue时没有准确过滤,这可导致上传任意文件
成功执行需要"Core upload module"可用(5.x-2.x的缺省设置)
2)特定的输入在summary表中显示前没有被准确过滤,当恶意数据被浏览时,可导致用户浏览器浏览受影响的网页时执行任意HTML和脚本代码。
注意:成功执行需要特定的编辑权
该漏洞在2008-01-30之前的5.x-2.x-dev, 5.x-1.2, 4.7.x-2.6,和4.7.x-1.6之前的版本中已经报告
解决方案
更新到V5.x-2.0, 5.x-1.3, 4.7.x-2.7, or 4.7.x-1.7
注意:更新需要改变配置,请联系厂商
| |
※文章所有权归【pioneer】与【东方微点论坛】共同所有,转载请注明出处!※
|
 |
|
