Drupal Taxonomy Theme模块name参数HTML注入漏洞

BUGTRAQ ID: 33923 Drupal的Taxonomy Theme模块允许网站管理员基于分类、词汇或类型内容更改指定内容的主题。 Taxonomy Theme模块的taxonomythemeadmintablebuilder函数没有正确地检查用户提供输入。在taxonomythemeadmin.inc的388行： $form'table'$item-$data'key''title' = array'value' = $item-name; 由于没有使用checkplain或类似的函数对$item-name值执行过滤，拥有administer...