Drupal Comment_Form_Add_Preview函数远程代码执行漏洞
Drupal是一款开放源码的内容管理平台。 Drupal不正确过滤用户提交的输入,远程攻击者可以利用漏洞以WEB权限执行任意命令。 问题是评注中的预览没有从普通验证函数通过就直接传递,启用用户可使用'post comments'权限并访问超过一个输入格式过滤来执行任意代码。默认情况下,匿名和验证用户只能访问仅一个输入格式。 vbDrupal 4.7.5 Drupal 4.7.5 Drupal 4.7.4 Drupal 4.7.4 Drupal 4.7.3 Drupal 4.7.3 Drupal 4.7.2 Drupal 4.7.1 Drupal 4.7 Drupal 5.0 补丁下载:...