漏洞信息详情
Drupal Panels模块跨站脚本漏洞
- CNNVD编号:CNNVD-201201-317
- 危害等级: 中危
- CVE编号: CVE-2012-0914
- 漏洞类型: 跨站脚本
- 发布时间: 1900-01-01
- 威胁类型: 远程
- 更新时间: 2012-01-31
- 厂 商: earl_miles
- 漏洞来源: Justin Klein Keane
漏洞简介
Drupal是Drupal社区所维护的一套用PHP语言开发的免费、开源的内容管理系统。
Drupal的Panels模块6.x-2.x之前的6.x-3.10版本中存在未明HTML注入漏洞,该漏洞源于对用户提供的输入未经正确过滤。攻击者可利用该漏洞将自身提供的HTML和脚本代码在受影响浏览器的上下文中运行,窃取基于cookie的认证证书或者控制网站传达给用户的方式,也可能执行其他的攻击。
漏洞公告
目前厂商已经发布了升级补丁以修复此安全问题,补丁获取链接:
http://drupal.org/node/1409446
参考网址
来源: www.madirish.net
链接:http://www.madirish.net/content/drupal-panels-6x-39-xss-vulnerability
来源: XF
名称: drupal-panels-unspecified-xss(72549)
链接:http://xforce.iss.net/xforce/xfdb/72549
来源: BID
名称: 51568
链接:http://www.securityfocus.com/bid/51568
来源: SECUNIA
名称: 47649
链接:http://secunia.com/advisories/47649
来源: OSVDB
名称: 78367
链接:http://osvdb.org/78367
来源: drupalcode.org
链接:http://drupalcode.org/project/panels.git/commit/d844942
来源: drupalcode.org
链接:http://drupalcode.org/project/panels.git/commit/2066d59
来源: drupal.org
链接:http://drupal.org/node/1409448
来源: drupal.org
链接:http://drupal.org/node/1409446
来源: drupal.org
链接:http://drupal.org/node/1409436
受影响实体
- Earl_miles Panels:6.X-3.0:Beta2
- Earl_miles Panels:6.X-3.0:Beta4
- Earl_miles Panels:6.X-3.0:Rc1
- Earl_miles Panels:6.X-3.0
- Earl_miles Panels:6.X-3.1
补丁
- panels-7.x-3.0
- panels-6.x-3.10
- panels-6.x-3.10
- panels-7.x-3.0
评论