投递文章
投稿指南
RSS订阅发布日期:2008-01-31
更新日期:2008-02-01
受影响系统:
Drupal Project issue tracking 5.x-2.x
Drupal Project issue tracking 5.x-1.x
Drupal Project issue tracking 4.7.x-2.x
Drupal Project issue tracking 4.7.x-1.x
描述:
BUGTRAQ ID: 27545
Drupal是一款开放源码的内容管理平台。
Drupal的项目问题跟踪模块在创建新的问题时没有正确地验证上传文件的扩展名,这可能导致上传任意文件。成功利用这个漏洞要求启用了核心上传模块。
此外该模块没有正确地过滤某些输入便在摘要表中显示,这可能导致在浏览恶意数据时注入任意HTML和脚本代码并在用户浏览器中执行。
Drupal:
目前厂商已经发布了升级补丁以修复这个安全问题,请到厂商的主页下载:http://ftp.drupal.org/files/projects/project_issue-4.7.x-2.7.tar.gz
http://ftp.drupal.org/files/projects/project_issue-5.x-2.0.tar.gz
http://ftp.drupal.org/files/projects/project_issue-4.7.x-1.7.tar.gz
(责任编辑:高爽)
