Drupal Suggested Terms模块多个HTML注入漏洞

2008-06-28T00:00:00
ID SSV:3490
Type seebug
Reporter Root
Modified 2008-06-28T00:00:00

Description

BUGTRAQ ID: 29953

Drupal是一款开放源码的内容管理平台。

Drupal的suggested terms模块用于根据用户已提交过的术语提供可自由标记的分类字段。该模块未经正确地过滤便在可点击的列表中显示了分类术语,因此能够创建新的术语条目的用户可以向某些编辑页面中注入任意HTML和脚本代码,当用户查看所推荐的分类术语时就会在浏览器会话中执行这些代码。

Drupal Suggested Terms 5.x-1.1 Drupal


目前厂商已经发布了升级补丁以修复这个安全问题,请到厂商的主页下载:

<a href=http://www.drupal.org/ target=_blank>http://www.drupal.org/</a>