Drupal Views模块SQL注入漏洞

漏洞信息详情

Drupal Views模块SQL注入漏洞

• CNNVD编号：CNNVD-201111-116
• 危害等级： 高危
  
  
• CVE编号：
  CVE-2011-4113
  
• 漏洞类型：
  
  
  SQL注入
  
• 发布时间：
  
  1900-01-01
  
• 威胁类型：
  
  
  远程
  
• 更新时间：
  
  2011-11-04
  
• 厂        商：
  
  earl_miles
• 漏洞来源：
  Olli Vesslin

Drupal是Drupal社区所维护的一套用PHP语言开发的免费、开源的内容管理系统。

Drupal的Views模块6.x-2.13之前版本中存在SQL注入漏洞。由于用户提供的数据在被用于SQL查询前没有经过充分的过滤，攻击者可利用该漏洞访问或修改数据。

目前厂商已经发布了升级补丁以修复此安全问题，补丁获取链接：

http://drupal.org/project/views

来源: XF

名称: views-filters-sql-injection(71124)

链接:http://xforce.iss.net/xforce/xfdb/71124

来源: BID

名称: 50500

链接:http://www.securityfocus.com/bid/50500

来源: OSVDB

名称: 76809

链接:http://www.osvdb.org/76809

来源: MLIST

名称: [oss-security] 20111104 Re: CVE Request — Drupal (v6.x based) Views module – SQL injection due improper escaping of database parameters for certain filters / arguments (SA-CONTRIB-2011-052)

链接:http://www.openwall.com/lists/oss-security/2011/11/04/3

来源: SECUNIA

名称: 46962

链接:http://secunia.com/advisories/46962

来源: SECUNIA

名称: 46680

链接:http://secunia.com/advisories/46680

来源: FEDORA

名称: FEDORA-2011-15399

链接:http://lists.fedoraproject.org/pipermail/package-announce/2011-November/069499.html

来源: drupal.org

链接:http://drupal.org/node/1329898

来源: drupal.org

链接:http://drupal.org/node/1329842