阿里云漏洞库

漏洞描述

Drupal是一套开放源码的内容管理平台。

Drupal Overlay模块在显示页面内容时未能正确校验URL，允许攻击者构建恶意URI，诱使用户解析，重定向用户到任意WEB站点，进行网络钓鱼等攻击。

解决建议

Drupal 7.24已经修复该漏洞，建议用户下载更新：
https://drupal.org

参考链接
http://www.debian.org/security/2013/dsa-2804
http://www.openwall.com/lists/oss-security/2013/11/22/4
https://drupal.org/SA-CORE-2013-003

受影响软件情况

1
#	类型	厂商	产品	版本	影响面
	运行在以下环境
	应用	drupal	drupal	7.0	-
	运行在以下环境
	应用	drupal	drupal	7.1	-
	运行在以下环境
	应用	drupal	drupal	7.10	-
	运行在以下环境
	应用	drupal	drupal	7.11	-
	运行在以下环境
	应用	drupal	drupal	7.12	-
	运行在以下环境
	应用	drupal	drupal	7.13	-
	运行在以下环境
	应用	drupal	drupal	7.14	-
	运行在以下环境
	应用	drupal	drupal	7.15	-
	运行在以下环境
	应用	drupal	drupal	7.16	-
	运行在以下环境
	应用	drupal	drupal	7.17	-
	运行在以下环境
	应用	drupal	drupal	7.18	-
	运行在以下环境
	应用	drupal	drupal	7.19	-
	运行在以下环境
	应用	drupal	drupal	7.2	-
	运行在以下环境
	应用	drupal	drupal	7.20	-
	运行在以下环境
	应用	drupal	drupal	7.21	-
	运行在以下环境
	应用	drupal	drupal	7.22	-
	运行在以下环境
	应用	drupal	drupal	7.23	-
	运行在以下环境
	应用	drupal	drupal	7.3	-
	运行在以下环境
	应用	drupal	drupal	7.4	-
	运行在以下环境
	应用	drupal	drupal	7.5	-
	运行在以下环境
	应用	drupal	drupal	7.6	-
	运行在以下环境
	应用	drupal	drupal	7.7	-
	运行在以下环境
	应用	drupal	drupal	7.8	-
	运行在以下环境
	应用	drupal	drupal	7.9	-
	运行在以下环境
	应用	drupal	drupal	7.x-dev	-
	运行在以下环境
	系统	debian_7	drupal7	*		Up to (excluding) 7.14-2+deb7u1
	运行在以下环境
	系统	fedora_EPEL_5	drupal6	*		Up to (excluding) 7.24-1.el5
	运行在以下环境
	系统	fedora_EPEL_6	drupal6	*		Up to (excluding) 7.24-1.el6
	运行在以下环境
	系统	ubuntu_14.04.6_lts	drupal7	*		Up to (excluding) 7.24-1
	运行在以下环境
	系统	ubuntu_16.04.7_lts	drupal7	*		Up to (excluding) 7.24-1

攻击路径

远程
攻击复杂度

容易
权限要求

无需权限
影响范围

有限影响
EXP成熟度

未验证
补丁情况

官方补丁
数据保密性

数据泄露
数据完整性

传输被破坏
服务器危害

无影响
全网数量

N/A

CWE-ID	漏洞类型
CWE-20	输入验证不恰当

低危 Drupal Core Overlay模块开放重定向漏洞

漏洞描述

解决建议

参考链接

受影响软件情况