漏洞信息详情
Angrydonuts Chaos Tool Suite 模块多个远程访问控制漏洞
- CNNVD编号:CNNVD-201005-320 <!--
- 危害等级: 低危-->
- 危害等级: 低危
- CVE编号: CVE-2010-1548
- 漏洞类型: 权限许可和访问控制
- 发布时间: 2010-05-25
- 威胁类型: 远程
- 更新时间: 2010-05-25
- 厂 商: chaos_tool_suite_project
- 漏洞来源: Martin Barbella, J...
-
漏洞简介
Drupal是很著名的开源内容管理平台,仿照了blog程序模式,但比普通的blog更灵活,可以做各种网站的内容管理平台。
Drupal的Chaos Tool Suite (即CTools)模块的自动完成功能不进行访问限制,拥有访问内容权限的远程认证用户可利用q=ctools/autocomplete/node/的值和节点标题的第一个字符读取未发布节点的标题。
漏洞公告
目前厂商已经发布了升级补丁以修复这个安全问题,补丁下载链接:
Drupal Chaos tool suite 6.x-1.3
Drupal ctools-6.x-1.4.tar.gz
http://ftp.drupal.org/files/projects/ctools-6.x-1.4.tar.gz
参考网址
来源: XF
名称: chaos-tool-permissions-sec-bypass(58724)
链接:http://xforce.iss.net/xforce/xfdb/58724
来源: BID
名称: 40285
链接:http://www.securityfocus.com/bid/40285
来源: MISC
链接:http://www.madirish.net/?article=458
来源: SECUNIA
名称: 39884
链接:http://secunia.com/advisories/39884
来源: FULLDISC
名称: 20100520 Drupal Chaos Tools Suite (Ctools) Module Multiple Vulns
链接:http://seclists.org/fulldisclosure/2010/May/272
来源: drupal.org
链接:http://drupal.org/node/803944
受影响实体
- Chaos_tool_suite_project Ctools:6.X-1.0:Alpha3:~~~Drupal~~<!--2000-1-1-->
- Chaos_tool_suite_project Ctools:6.X-1.0:Beta1:~~~Drupal~~<!--2000-1-1-->
- Chaos_tool_suite_project Ctools:6.X-1.0:Beta2:~~~Drupal~~<!--2000-1-1-->
- Chaos_tool_suite_project Ctools:6.X-1.0:Beta3:~~~Drupal~~<!--2000-1-1-->
- Chaos_tool_suite_project Ctools:6.X-1.0:Beta4:~~~Drupal~~<!--2000-1-1-->
补丁
- ctools 6.x-1.4<!--2010-5-20-->
还没有评论,来说两句吧...