Drupal预制模块漏洞

根据Secunia的说法,在Drupal的预制模块中报告了两种漏洞,该模块可以通过恶意用户利用恶意用户和恶意人士进行脚本插入攻击,并根据SECUNIA进行跨站点请求伪造攻击。

1.通过预制表单通过的输入未经在使用之前未正确消毒。这可以利用这将插入任意的HTML和脚本代码,该代码将在用户中执行’在查看恶意数据时,在受影响的站点的上下文中的浏览器会话。

成功利用此漏洞需要使用具有某些表单字段的表单的权限。

2.应用程序’S Web界面允许用户通过HTTP请求执行某些操作,而无需执行任何有效性检查以验证请求。这可以利用这可以通过欺骗登录用户在访问恶意网站时提交表单中的未指定值。

在6.x-2.2之前的版本中报告了该漏洞。

分享这个