正文

Drupal Mozilla Persona模块跨站请求伪造漏洞

admin
admin V管理员 /0 评论 /11 阅读
0301
此篇文章发布距今已超过1166天,您需要注意文章的内容或图片是否可用!

漏洞信息详情

Drupal Mozilla Persona模块跨站请求伪造漏洞

  • CNNVD编号:CNNVD-202002-896
    • <!--
  • 危害等级: 高危-->
  • 危害等级: 高危
  • CVE编号: CVE-2013-4227
  • 漏洞类型: 跨站请求伪造
  • 发布时间: 2020-02-18
  • 威胁类型: 远程
  • 更新时间: 2020-03-02
  • 厂        商:
  • 漏洞来源:

漏洞简介

Drupal是Drupal社区的一套使用PHP语言开发的开源内容管理系统。Mozilla Persona是其中的一个安全身份验证模块。

Mozilla Persona module 7.x-1.11之前的7.x-1.x版本(用于Drupal)中的persona.module的‘persona_xsrf_token’函数存在跨站请求伪造漏洞。攻击者可利用该漏洞实施跨站脚本攻击,造成Web缓存中毒或执行其他操作。

漏洞公告

目前厂商已发布升级补丁以修复漏洞,补丁获取链接:

https://www.drupal.org/node/2059599

参考网址

来源:MISC

链接:http://www.openwall.com/lists/oss-security/2013/08/10/1

来源:MISC

链接:http://drupalcode.org/project/persona.git/commitdiff/fe0f9bb

来源:MISC

链接:https://drupal.org/node/2059599

来源:MISC

链接:https://drupal.org/node/2058655

来源:nvd.nist.gov

链接:https://nvd.nist.gov/vuln/detail/CVE-2013-4227

受影响实体

    暂无


补丁

  • Drupal Mozilla Persona模块跨站请求伪造漏洞的修复措施
    <!--
    2020-2-18
    -->