漏洞信息详情
Drupal iTweak Upload 模块跨站脚本攻击漏洞
- CNNVD编号:CNNVD-201002-246 <!--
- 危害等级: 低危-->
- 危害等级: 低危
- CVE编号: CVE-2010-0697
- 漏洞类型: 跨站脚本
- 发布时间: 2010-02-23
- 威胁类型: 远程
- 更新时间: 2010-02-24
- 厂 商: ilya_ivanchenko
- 漏洞来源: Mark Piper
-
漏洞简介
Drupal是Drupal社区所维护的一套用PHP语言开发的免费、开源的内容管理系统。
Drupal的iTweak Upload模块存在跨站脚本攻击漏洞。具有内容和文件上传权限的认证用户可以借助一个上传文件的文件名,注入任意的web脚本和HTML。
漏洞公告
目前厂商已经发布了升级补丁以修复这个安全问题,补丁下载链接:
Drupal iTweak Upload 6.x-2.2
Drupal itweak_upload-6.x-2.3.tar.gz
http://ftp.drupal.org/files/projects/itweak_upload-6.x-2.3.tar.gz
Drupal iTweak Upload 6.x-1.1
Drupal itweak_upload-6.x-1.2.tar.gz
http://ftp.drupal.org/files/projects/itweak_upload-6.x-1.2.tar.gz
参考网址
来源: BID
名称: 38292
链接:http://www.securityfocus.com/bid/38292
来源: drupal.org
链接:http://drupal.org/node/717214
来源: drupal.org
链接:http://drupal.org/node/711074
来源: drupal.org
链接:http://drupal.org/node/711072
来源: XF
名称: itweakupload-filenames-xss(56351)
链接:http://xforce.iss.net/xforce/xfdb/56351
来源: SECUNIA
名称: 38633
链接:http://secunia.com/advisories/38633
来源: OSVDB
名称: 62405
链接:http://osvdb.org/62405
受影响实体
- Ilya_ivanchenko Itweak_upload:6.X-1.0<!--2000-1-1-->
- Ilya_ivanchenko Itweak_upload:6.X-1.1<!--2000-1-1-->
- Ilya_ivanchenko Itweak_upload:6.X-1.X-Dev<!--2000-1-1-->
- Ilya_ivanchenko Itweak_upload:6.X-2.X-Dev<!--2000-1-1-->
- Ilya_ivanchenko Itweak_upload:6.X-2.2<!--2000-1-1-->
补丁
- itweak_upload 6.x-2.3<!---->
- itweak_upload 6.x-1.2<!---->
还没有评论,来说两句吧...