Drupal Flag模块eval注入漏洞

漏洞信息详情

Drupal Flag模块eval注入漏洞

• CNNVD编号：CNNVD-201405-308
• 危害等级： 中危
  
  
• CVE编号：
  CVE-2014-3453
  
• 漏洞类型：
  
  
  代码注入
  
• 发布时间：
  
  2014-05-20
  
• 威胁类型：
  
  
  远程
  
• 更新时间：
  
  2014-05-20
  
• 厂        商：
  
  flag_module_project
• 漏洞来源：

Drupal是Drupal社区所维护的一套用PHP语言开发的免费、开源的内容管理系统。Flag是其中的一个标记模块，该模块可标记任意的节点、评论、用户等内容。

Drupal Flag模块7.x-3.0版本和7.x-3.5及之前版本的includes/flag.export.inc文件中的‘flag_import_form_validate’函数存在eval注入漏洞。远程攻击者可借助‘Flag import code’文本区利用该漏洞执行任意PHP代码。

目前厂商已经发布了升级补丁以修复此安全问题，详情请关注厂商主页：
https://drupal.org/project/flag

来源:bugzilla.redhat.com

链接:https://bugzilla.redhat.com/show_bug.cgi?id=1096604

来源:MLIST

名称:[oss-security] 20140512 Re: CVE request: Drupal Flag 7.x-3.5 Module Vulnerability report: Arbitrary code execution due to improper input handling in flag importer

链接:http://www.openwall.com/lists/oss-security/2014/05/12/2

来源:FULLDISC

名称:20140509 Drupal Flag 7.x-3.5 Module Vulnerability report: Arbitrary code execution due to improper input handling in flag importer

链接:http://seclists.org/fulldisclosure/2014/May/44

来源:BID

名称:67318

链接:http://www.securityfocus.com/bid/67318