阿里云漏洞库

漏洞描述

Drupal是一款开放源码的内容管理平台。Drupal Core某些OpenID没有校验SREG和AX中签名属性，允许攻击者修改用户信息。

解决建议

Drupal 7.11和6.23已经修复此漏洞，建议用户下载使用：http://drupal.org/

参考链接
http://openid.net/2011/05/05/attribute-exchange-security-alert/
http://www.debian.org/security/2013/dsa-2776
https://drupal.org/node/1425084

受影响软件情况

1
#	类型	厂商	产品	版本	影响面
	运行在以下环境
	应用	drupal	drupal	6.0	-
	运行在以下环境
	应用	drupal	drupal	6.1	-
	运行在以下环境
	应用	drupal	drupal	6.10	-
	运行在以下环境
	应用	drupal	drupal	6.11	-
	运行在以下环境
	应用	drupal	drupal	6.12	-
	运行在以下环境
	应用	drupal	drupal	6.13	-
	运行在以下环境
	应用	drupal	drupal	6.14	-
	运行在以下环境
	应用	drupal	drupal	6.15	-
	运行在以下环境
	应用	drupal	drupal	6.16	-
	运行在以下环境
	应用	drupal	drupal	6.17	-
	运行在以下环境
	应用	drupal	drupal	6.18	-
	运行在以下环境
	应用	drupal	drupal	6.19	-
	运行在以下环境
	应用	drupal	drupal	6.2	-
	运行在以下环境
	应用	drupal	drupal	6.20	-
	运行在以下环境
	应用	drupal	drupal	6.21	-
	运行在以下环境
	应用	drupal	drupal	6.22	-
	运行在以下环境
	应用	drupal	drupal	6.23	-
	运行在以下环境
	应用	drupal	drupal	7.0	-
	运行在以下环境
	应用	drupal	drupal	7.1	-
	运行在以下环境
	应用	drupal	drupal	7.10	-
	运行在以下环境
	应用	drupal	drupal	7.2	-
	运行在以下环境
	应用	drupal	drupal	7.3	-
	运行在以下环境
	应用	drupal	drupal	7.4	-
	运行在以下环境
	应用	drupal	drupal	7.5	-
	运行在以下环境
	应用	drupal	drupal	7.6	-
	运行在以下环境
	应用	drupal	drupal	7.7	-
	运行在以下环境
	应用	drupal	drupal	7.8	-
	运行在以下环境
	应用	drupal	drupal	7.9	-
	运行在以下环境
	应用	drupal	drupal	7.x	-
	运行在以下环境
	应用	drupal	drupal	7.x-dev	-
	运行在以下环境
	系统	debian_6	drupal6	*		Up to (excluding) 6.28-1
	运行在以下环境
系统	ubuntu_12.04.5_lts	drupal7	*		Up to (excluding) 7.12-1
运行在以下环境
系统	ubuntu_14.04.6_lts	drupal7	*		Up to (excluding) 7.14-1
运行在以下环境
系统	ubuntu_16.04.7_lts	drupal7	*		Up to (excluding) 7.14-1

攻击路径

远程
攻击复杂度

复杂
权限要求

无需权限
影响范围

有限影响
EXP成熟度

未验证
补丁情况

官方补丁
数据保密性

数据泄露
数据完整性

传输被破坏
服务器危害

DoS
全网数量

N/A

CWE-ID	漏洞类型
CWE-200	信息暴露

低危 Drupal up to 7.x-dev 跨站脚本攻击

漏洞描述

解决建议

参考链接

受影响软件情况