漏洞信息详情
Drupal ‘Drupal Commerce’模块跨站脚本漏洞
- CNNVD编号:CNNVD-201202-008
- 危害等级: 中危
- CVE编号: CVE-2012-1639
- 漏洞类型: 跨站脚本
- 发布时间: 1900-01-01
- 威胁类型: 远程
- 更新时间: 2012-02-06
- 厂 商: drupal
- 漏洞来源: Ivo Van Geertruyen...
漏洞简介
Drupal是Drupal社区所维护的一套用PHP语言开发的免费、开源的内容管理系统。
Drupal的Drupal Commerce模块中存在跨站脚本漏洞,该漏洞源于对用户提供的数据未经正确过滤。攻击者可利用该漏洞在受影响站点上下文的不知情用户浏览器上执行任意脚本代码,盗取基于cookie的认证证书进而发起其它攻击。Drupal Commerce 7.x-1.1版本存在此漏洞,之前的版本也可能受到影响。
漏洞公告
目前厂商已经发布了升级补丁以修复此安全问题,补丁获取链接:
http://drupal.org/node/1416824
参考网址
来源: drupal.org
链接:http://drupal.org/node/1416824
来源: XF
名称: drupal-commerce-multiple-xss(72743)
链接:http://xforce.iss.net/xforce/xfdb/72743
来源: BID
名称: 51668
链接:http://www.securityfocus.com/bid/51668
来源: MLIST
名称: [oss-security] 20120406 CVE's for Drupal Contrib 2012 001 through 057 (67 new CVE assignments)
链接:http://www.openwall.com/lists/oss-security/2012/04/07/1
来源: SECUNIA
名称: 47730
链接:http://secunia.com/advisories/47730
来源: OSVDB
名称: 78528
链接:http://osvdb.org/78528
来源: drupalcode.org
链接:http://drupalcode.org/project/commerce.git/blobdiff/45bc53875f1675750afe60e709a34c95e3008366..b74cdcd:/modules/product/commerce_product.module
受影响实体
- Drupal Drupal:-
补丁
- commerce-7.x-1.2
评论