正文

Angrydonuts Chaos Tool Suite模块多个远程eval注入漏洞

admin
admin V管理员 /0 评论 /6 阅读
0105
此篇文章发布距今已超过1265天,您需要注意文章的内容或图片是否可用!

漏洞信息详情

Angrydonuts Chaos Tool Suite模块多个远程eval注入漏洞

  • CNNVD编号:CNNVD-201005-318
    • <!--
  • 危害等级: 中危-->
  • 危害等级: 中危
  • CVE编号: CVE-2010-1546
  • 漏洞类型: 代码注入
  • 发布时间: 2010-05-25
  • 威胁类型: 远程
  • 更新时间: 2010-05-25
  • 厂        商: chaos_tool_suite_project
  • 漏洞来源: Martin Barbella, J...

漏洞简介

Drupal是很著名的开源内容管理平台,仿照了blog程序模式,但比普通的blog更灵活,可以做各种网站的内容管理平台。

Drupal的Chaos Tool Suite (即CTools)模块的导入功能存在多个eval注入漏洞,拥有页面管理权限的远程认证用户可通过文本区域的输入执行任意PHP代码,这些文本与(1)page_manager/plugins/tasks/page.admin.inc的page_manager_page_import_subtask_validate参数,和(2)page_manager/page_manager.admin.inc的page_manager_handler_import_validate参数相关。

漏洞公告

目前厂商已经发布了升级补丁以修复这个安全问题,补丁下载链接:

Drupal Chaos tool suite 6.x-1.3

Drupal ctools-6.x-1.4.tar.gz

http://ftp.drupal.org/files/projects/ctools-6.x-1.4.tar.gz

参考网址

来源: XF

名称: chaos-tool-import-code-execution(58723)

链接:http://xforce.iss.net/xforce/xfdb/58723

来源: BID

名称: 40285

链接:http://www.securityfocus.com/bid/40285

来源: MISC

链接:http://www.madirish.net/?article=458

来源: SECUNIA

名称: 39884

链接:http://secunia.com/advisories/39884

来源: FULLDISC

名称: 20100520 Drupal Chaos Tools Suite (Ctools) Module Multiple Vulns

链接:http://seclists.org/fulldisclosure/2010/May/272

来源: drupalcode.org

链接:http://drupalcode.org/viewvc/drupal/contributions/modules/ctools/page_manager/plugins/tasks/page.admin.inc?view=log

来源: drupalcode.org

链接:http://drupalcode.org/viewvc/drupal/contributions/modules/ctools/page_manager/plugins/tasks/page.admin.inc?r1=1.18.2.6&r2=1.18.2.7

来源: drupalcode.org

链接:http://drupalcode.org/viewvc/drupal/contributions/modules/ctools/page_manager/page_manager.admin.inc?view=log

来源: drupalcode.org

链接:http://drupalcode.org/viewvc/drupal/contributions/modules/ctools/page_manager/page_manager.admin.inc?r1=1.27.2.9&r2=1.27.2.10

来源: drupal.org

链接:http://drupal.org/node/803944

受影响实体

  • Chaos_tool_suite_project Ctools:6.X-1.X:Dev:~~~Drupal~~  
    <!--
    2000-1-1
    -->
  • Chaos_tool_suite_project Ctools:6.X-1.0:~~~Drupal~~  
    <!--
    2000-1-1
    -->
  • Chaos_tool_suite_project Ctools:6.X-1.0:Alpha1:~~~Drupal~~  
    <!--
    2000-1-1
    -->
  • Chaos_tool_suite_project Ctools:6.X-1.0:Alpha2:~~~Drupal~~  
    <!--
    2000-1-1
    -->
  • Chaos_tool_suite_project Ctools:6.X-1.0:Alpha3:~~~Drupal~~  
    <!--
    2000-1-1
    -->

补丁

  • ctools 6.x-1.4
    <!--
    2010-5-20
    -->