漏洞信息详情

Drupal EU Cookie Compliance模块跨站脚本漏洞

• CNNVD编号：CNNVD-201311-402
• 危害等级： 中危
  
• CVE编号： CVE-2013-7064
• 漏洞类型： 跨站脚本
• 发布时间： 2013-11-29
• 威胁类型： 远程
• 更新时间： 2014-05-04
• 厂        商： freelance-it-consultant
• 漏洞来源： Lode Vanstechelman

漏洞简介

Drupal是Drupal社区所维护的一套用PHP语言开发的免费、开源的内容管理系统。EU Cookie Compliance是其中的一个用于安装遵守欧盟（EU）推出的Cookie规则的模块。

Drupal EU Cookie Compliance模块7.x-1.11及之前的版本中存在跨站脚本漏洞，该漏洞源于程序没有验证配置值。远程攻击者可利用该漏洞以‘Administer EU Cookie Compliance popup’权限注入任意Web脚本或HTML。

漏洞公告

目前厂商已经发布了升级补丁以修复此安全问题，补丁获取链接：

https://drupal.org/node/2140123

参考网址

来源:MLIST

名称:[oss-security] 20131211 Re: CVE request for Drupal core, and contributed modules

链接:http://www.openwall.com/lists/oss-security/2013/12/12/1

来源:drupal.org

链接:https://drupal.org/node/2139875

来源:drupal.org

链接:https://drupal.org/node/2140123

来源:MLIST

名称:[oss-security] 20131206 CVE request for Drupal core, and contributed modules

链接:http://www.openwall.com/lists/oss-security/2013/12/06/7

来源: BID

名称: 63835

链接:http://www.securityfocus.com/bid/63835

受影响实体

• Freelance-It-Consultant Eu_cookie_compliance:7.X-1.X:Dev:~~~Drupal~~  
• Freelance-It-Consultant Eu_cookie_compliance:7.X-1.0:~~~Drupal~~  
• Freelance-It-Consultant Eu_cookie_compliance:7.X-1.1:~~~Drupal~~  
• Freelance-It-Consultant Eu_cookie_compliance:7.X-1.2:~~~Drupal~~  
• Freelance-It-Consultant Eu_cookie_compliance:7.X-1.6:~~~Drupal~~  

补丁

• eu-cookie-compliance-7.x-1.12
• eu-cookie-compliance-7.x-1.12