漏洞信息详情
Angrydonuts Chaos Tool Suite 模块多个远程跨站请求伪造漏洞
- CNNVD编号:CNNVD-201005-319 <!--
- 危害等级: 中危-->
- 危害等级: 中危
- CVE编号: CVE-2010-1547
- 漏洞类型: 跨站请求伪造
- 发布时间: 2010-05-25
- 威胁类型: 远程
- 更新时间: 2010-05-25
- 厂 商: chaos_tool_suite_project
- 漏洞来源: Martin Barbella, J...
-
漏洞简介
Drupal是很著名的开源内容管理平台,仿照了blog程序模式,但比普通的blog更灵活,可以做各种网站的内容管理平台。
Drupal的Chaos Tool Suite (即CTools)模块存在多个跨站请求伪造(CSRF)漏洞,远程攻击者可以劫持管理员对下述请求的认证:(1)以q=admin/build/pages/nojs/enable/的值激活某页面,或(2)以q=admin/build/pages/nojs/disable/的值禁用某页面。
漏洞公告
目前厂商已经发布了升级补丁以修复这个安全问题,补丁下载链接:
Drupal Chaos tool suite 6.x-1.3
Drupal ctools-6.x-1.4.tar.gz
http://ftp.drupal.org/files/projects/ctools-6.x-1.4.tar.gz
参考网址
来源: XF
名称: chaos-tool-unspecified-csrf(58722)
链接:http://xforce.iss.net/xforce/xfdb/58722
来源: BID
名称: 40285
链接:http://www.securityfocus.com/bid/40285
来源: MISC
链接:http://www.madirish.net/?article=458
来源: SECUNIA
名称: 39884
链接:http://secunia.com/advisories/39884
来源: FULLDISC
名称: 20100520 Drupal Chaos Tools Suite (Ctools) Module Multiple Vulns
链接:http://seclists.org/fulldisclosure/2010/May/272
来源: drupal.org
链接:http://drupal.org/node/803944
受影响实体
- Chaos_tool_suite_project Ctools:6.X-1.X:Dev:~~~Drupal~~<!--2000-1-1-->
- Chaos_tool_suite_project Ctools:6.X-1.0:~~~Drupal~~<!--2000-1-1-->
- Chaos_tool_suite_project Ctools:6.X-1.0:Alpha1:~~~Drupal~~<!--2000-1-1-->
- Chaos_tool_suite_project Ctools:6.X-1.0:Alpha2:~~~Drupal~~<!--2000-1-1-->
- Chaos_tool_suite_project Ctools:6.X-1.0:Alpha3:~~~Drupal~~<!--2000-1-1-->
补丁
- ctools 6.x-1.4<!--2010-5-20-->
还没有评论,来说两句吧...