阿里云漏洞库

漏洞描述

Drupal是一款基于PHP的内容管理系统。Drupal存在多个安全绕过漏洞，Drupal 没有正确限制某些节点信息，允许攻击者利用漏洞获得节点内容或标题。

解决建议

Drupal 6.28和7.19已经修复此漏洞，建议用户下载使用：http://drupal.org/drupal-6.28-release-noteshttp://drupal.org/drupal-7.19-release-notes

参考链接
http://osvdb.org/89305
http://packetstormsecurity.com/files/119598/Drupal-Core-6.x-7.x-Cross-Site-Sc...
http://seclists.org/fulldisclosure/2013/Jan/120
http://seclists.org/oss-sec/2013/q1/211
http://secunia.com/advisories/51717
http://www.debian.org/security/2013/dsa-2776
https://drupal.org/SA-CORE-2013-001
https://exchange.xforce.ibmcloud.com/vulnerabilities/81380

受影响软件情况

1
#	类型	厂商	产品	版本	影响面
	运行在以下环境
	应用	drupal	drupal	6.0	-
	运行在以下环境
	应用	drupal	drupal	6.1	-
	运行在以下环境
	应用	drupal	drupal	6.10	-
	运行在以下环境
	应用	drupal	drupal	6.11	-
	运行在以下环境
	应用	drupal	drupal	6.12	-
	运行在以下环境
	应用	drupal	drupal	6.13	-
	运行在以下环境
	应用	drupal	drupal	6.14	-
	运行在以下环境
	应用	drupal	drupal	6.15	-
	运行在以下环境
	应用	drupal	drupal	6.16	-
	运行在以下环境
	应用	drupal	drupal	6.17	-
	运行在以下环境
	应用	drupal	drupal	6.18	-
	运行在以下环境
	应用	drupal	drupal	6.19	-
	运行在以下环境
	应用	drupal	drupal	6.2	-
	运行在以下环境
	应用	drupal	drupal	6.20	-
	运行在以下环境
	应用	drupal	drupal	6.21	-
	运行在以下环境
	应用	drupal	drupal	6.22	-
	运行在以下环境
	应用	drupal	drupal	6.23	-
	运行在以下环境
	应用	drupal	drupal	6.24	-
	运行在以下环境
	应用	drupal	drupal	6.25	-
	运行在以下环境
	应用	drupal	drupal	6.26	-
	运行在以下环境
	应用	drupal	drupal	6.27	-
	运行在以下环境
	应用	drupal	drupal	6.3	-
	运行在以下环境
	应用	drupal	drupal	6.4	-
	运行在以下环境
	应用	drupal	drupal	6.5	-
	运行在以下环境
	应用	drupal	drupal	6.6	-
	运行在以下环境
	应用	drupal	drupal	6.7	-
	运行在以下环境
	应用	drupal	drupal	6.8	-
	运行在以下环境
	应用	drupal	drupal	6.9	-
	运行在以下环境
	应用	drupal	drupal	7.0	-
	运行在以下环境
	应用	drupal	drupal	7.1	-
	运行在以下环境
	应用	drupal	drupal	7.10	-
	运行在以下环境
应用	drupal	drupal	7.11	-
运行在以下环境
应用	drupal	drupal	7.12	-
运行在以下环境
应用	drupal	drupal	7.13	-
运行在以下环境
应用	drupal	drupal	7.14	-
运行在以下环境
应用	drupal	drupal	7.15	-
运行在以下环境
应用	drupal	drupal	7.16	-
运行在以下环境
应用	drupal	drupal	7.17	-
运行在以下环境
应用	drupal	drupal	7.18	-
运行在以下环境
应用	drupal	drupal	7.2	-
运行在以下环境
应用	drupal	drupal	7.3	-
运行在以下环境
应用	drupal	drupal	7.4	-
运行在以下环境
应用	drupal	drupal	7.5	-
运行在以下环境
应用	drupal	drupal	7.6	-
运行在以下环境
应用	drupal	drupal	7.7	-
运行在以下环境
应用	drupal	drupal	7.8	-
运行在以下环境
应用	drupal	drupal	7.9	-
运行在以下环境
应用	drupal	drupal	7.x-dev	-
运行在以下环境
系统	debian_6	drupal6	*		Up to (excluding) 6.28-1
运行在以下环境
系统	ubuntu_14.04.6_lts	drupal7	*		Up to (excluding) 7.22-1
运行在以下环境
系统	ubuntu_16.04.7_lts	drupal7	*		Up to (excluding) 7.22-1

攻击路径

本地
攻击复杂度

困难
权限要求

普通权限
影响范围

有限影响
EXP成熟度

未验证
补丁情况

官方补丁
数据保密性

无影响
数据完整性

无影响
服务器危害

无影响
全网数量

-

CWE-ID	漏洞类型
CWE-264	权限、特权和访问控制

低危 Drupal up to 7.x-dev 跨站脚本攻击

漏洞描述

解决建议

参考链接

受影响软件情况