CVE编号
CVE-2016-3167利用情况
暂无补丁情况
N/A披露时间
2016-04-13漏洞描述
Drupal是一套用PHP语言开发的免费、开源的内容管理系统。Drupal Core双重编码'destination'参数存在开放重定向漏洞。Drupal 6 'drupal_goto()'函数未能正确解码在被使用$_REQUEST['destination']的内容,允许攻击者利用漏洞开放重定向保护被绕过,和发起一个重定向到一个任意的外部网址。
解决建议
用户可参考如下供应商提供的安全公告获得补丁信息:https://www.drupal.org/SA-CORE-2016-001
参考链接 |
|
|---|---|
| http://www.debian.org/security/2016/dsa-3498 | |
| http://www.openwall.com/lists/oss-security/2016/02/24/19 | |
| http://www.openwall.com/lists/oss-security/2016/03/15/10 | |
| https://www.drupal.org/SA-CORE-2016-001 |
受影响软件情况
| # | 类型 | 厂商 | 产品 | 版本 | 影响面 | ||||
| 1 | |||||||||
|---|---|---|---|---|---|---|---|---|---|
| 运行在以下环境 | |||||||||
| 应用 | drupal | drupal | 6.0 | - | |||||
| 运行在以下环境 | |||||||||
| 应用 | drupal | drupal | 6.1 | - | |||||
| 运行在以下环境 | |||||||||
| 应用 | drupal | drupal | 6.10 | - | |||||
| 运行在以下环境 | |||||||||
| 应用 | drupal | drupal | 6.11 | - | |||||
| 运行在以下环境 | |||||||||
| 应用 | drupal | drupal | 6.12 | - | |||||
| 运行在以下环境 | |||||||||
| 应用 | drupal | drupal | 6.13 | - | |||||
| 运行在以下环境 | |||||||||
| 应用 | drupal | drupal | 6.14 | - | |||||
| 运行在以下环境 | |||||||||
| 应用 | drupal | drupal | 6.15 | - | |||||
| 运行在以下环境 | |||||||||
| 应用 | drupal | drupal | 6.16 | - | |||||
| 运行在以下环境 | |||||||||
| 应用 | drupal | drupal | 6.17 | - | |||||
| 运行在以下环境 | |||||||||
| 应用 | drupal | drupal | 6.18 | - | |||||
| 运行在以下环境 | |||||||||
| 应用 | drupal | drupal | 6.19 | - | |||||
| 运行在以下环境 | |||||||||
| 应用 | drupal | drupal | 6.2 | - | |||||
| 运行在以下环境 | |||||||||
| 应用 | drupal | drupal | 6.20 | - | |||||
| 运行在以下环境 | |||||||||
| 应用 | drupal | drupal | 6.21 | - | |||||
| 运行在以下环境 | |||||||||
| 应用 | drupal | drupal | 6.22 | - | |||||
| 运行在以下环境 | |||||||||
| 应用 | drupal | drupal | 6.23 | - | |||||
| 运行在以下环境 | |||||||||
| 应用 | drupal | drupal | 6.24 | - | |||||
| 运行在以下环境 | |||||||||
| 应用 | drupal | drupal | 6.25 | - | |||||
| 运行在以下环境 | |||||||||
| 应用 | drupal | drupal | 6.26 | - | |||||
| 运行在以下环境 | |||||||||
| 应用 | drupal | drupal | 6.27 | - | |||||
| 运行在以下环境 | |||||||||
| 应用 | drupal | drupal | 6.28 | - | |||||
| 运行在以下环境 | |||||||||
| 应用 | drupal | drupal | 6.29 | - | |||||
| 运行在以下环境 | |||||||||
| 应用 | drupal | drupal | 6.3 | - | |||||
| 运行在以下环境 | |||||||||
| 应用 | drupal | drupal | 6.30 | - | |||||
| 运行在以下环境 | |||||||||
| 应用 | drupal | drupal | 6.31 | - | |||||
| 运行在以下环境 | |||||||||
| 应用 | drupal | drupal | 6.32 | - | |||||
| 运行在以下环境 | |||||||||
| 应用 | drupal | drupal | 6.33 | - | |||||
| 运行在以下环境 | |||||||||
| 应用 | drupal | drupal | 6.34 | - | |||||
| 运行在以下环境 | |||||||||
| 应用 | drupal | drupal | 6.35 | - | |||||
| 运行在以下环境 | |||||||||
| 应用 | drupal | drupal | 6.36 | - | |||||
| 运行在以下环境 | |||||||||
| 应用 | drupal | drupal | 6.37 | - | |||||
| 运行在以下环境 | |||||||||
| 应用 | drupal | drupal | 6.4 | - | |||||
| 运行在以下环境 | |||||||||
| 应用 | drupal | drupal | 6.5 | - | |||||
| 运行在以下环境 | |||||||||
| 应用 | drupal | drupal | 6.6 | - | |||||
| 运行在以下环境 | |||||||||
| 应用 | drupal | drupal | 6.7 | - | |||||
| 运行在以下环境 | |||||||||
| 应用 | drupal | drupal | 6.8 | - | |||||
| 运行在以下环境 | |||||||||
| 应用 | drupal | drupal | 6.9 | - | |||||
| 运行在以下环境 | |||||||||
| 应用 | php | php | * |
Up to (including) 5.4.6 |
|||||
| 运行在以下环境 | |||||||||
| 系统 | debian | DPKG | * |
Up to (excluding) 0 |
|||||
- 攻击路径 网络
- 攻击复杂度 低
- 权限要求 无
- 影响范围 已更改
- 用户交互 需要
- 可用性 无
- 保密性 无
- 完整性 高
还没有评论,来说两句吧...