漏洞信息详情
Drupal ‘Maestro’ 模块跨站请求伪造漏洞和跨站脚本漏洞
- CNNVD编号:CNNVD-201206-083
- 危害等级: 低危
- CVE编号: CVE-2012-2723
- 漏洞类型: 跨站脚本
- 发布时间: 2012-06-08
- 威胁类型: 远程
- 更新时间: 2012-06-08
- 厂 商: blaine_lang
- 漏洞来源: Greg Knaddison and...
漏洞简介
Drupal是Drupal社区所维护的一套用PHP语言开发的免费、开源的内容管理系统。
Drupal的Maestro模块中存在一个跨站请求伪造漏洞和一个跨站脚本漏洞。攻击者可利用跨站请求伪造漏洞在用户会话上下文中执行未授权操作,这可能导致其他的攻击;可利用跨站脚本漏洞在受影响站点上下文中执行任意脚本代码,盗取基于cookie的认证证书;也可能造成其他的攻击。Maestro 7.x-1.2之前版本中存在这些漏洞。
漏洞公告
目前厂商已经发布了升级补丁以修复此安全问题,补丁获取链接:
http://drupal.org/node/1619830
参考网址
来源: XF
名称: maestro-unspecified-xss(76145)
链接:http://xforce.iss.net/xforce/xfdb/76145
来源: BID
名称: 53836
链接:http://www.securityfocus.com/bid/53836
来源: OSVDB
名称: 82713
链接:http://www.osvdb.org/82713
来源: MLIST
名称: [oss-security] 20120613 Re: CVE Request for Drupal contributed modules
链接:http://www.openwall.com/lists/oss-security/2012/06/14/3
来源: SECUNIA
名称: 49393
链接:http://secunia.com/advisories/49393
来源: drupalcode.org
链接:http://drupalcode.org/project/maestro.git/commitdiff/c499971
来源: drupal.org
链接:http://drupal.org/node/1619830
来源: drupal.org
链接:http://drupal.org/node/1617952
受影响实体
- Blaine_lang Maestro:7.X-1.1
- Blaine_lang Maestro:7.X-1.0
- Blaine_lang Maestro:7.X-1.0:Rc1
- Blaine_lang Maestro:7.X-1.0:Alpha3
- Blaine_lang Maestro:7.X-1.0:Alpha2
补丁
- maestro 7.x-1.2
- maestro 7.x-1.2
评论