漏洞信息详情
Drupal Views Bulk Operations模块访问绕过漏洞
- CNNVD编号:CNNVD-201507-183 <!--
- 危害等级: 中危-->
- 危害等级: 中危
- CVE编号: CVE-2015-5515
- 漏洞类型: 权限许可和访问控制
- 发布时间: 2015-07-08
- 威胁类型: 远程
- 更新时间: 2015-08-19
- 厂 商: views_bulk_operations_project
- 漏洞来源: Adam Shepherd
-
漏洞简介
Drupal是Drupal社区所维护的一套用PHP语言开发的免费、开源的内容管理系统。Views Bulk Operations(VBO)是其中的一个用于在节点上更改视图的第三方模块。
Drupal VBO模块6.x-1.x版本和7.x-3.3之前7.x-3.x版本中存在安全漏洞。当程序使用bulk操作改变角色时,远程攻击者可通过访问开启了VBO的用户账户列表视图利用该漏洞编辑用户账户,或添加任意角色。
漏洞公告
目前厂商已经发布了升级补丁以修复此安全问题,补丁获取链接:
https://www.drupal.org/node/2516688
参考网址
来源:www.drupal.org
链接:https://www.drupal.org/node/2516688
来源:MLIST
链接:http://www.openwall.com/lists/oss-security/2015/07/04/4
来源:www.drupal.org
链接:https://www.drupal.org/node/2516680
来源: BID
链接:http://www.securityfocus.com/bid/75547
受影响实体
- Views_bulk_operations_project Views_bulk_operations:7.X-3.2:~~~Drupal~~<!--2000-1-1-->
- Views_bulk_operations_project Views_bulk_operations:7.X-3.1:~~~Drupal~~<!--2000-1-1-->
- Views_bulk_operations_project Views_bulk_operations:7.X-3.0:~~~Drupal~~<!--2000-1-1-->
- Views_bulk_operations_project Views_bulk_operations:7.X-3.0:Rc1:~~~Drupal~~<!--2000-1-1-->
- Views_bulk_operations_project Views_bulk_operations:7.X-3.0:Beta3:~~~Drupal~~<!--2000-1-1-->
补丁
暂无
还没有评论,来说两句吧...