Drupal用户只读模块安全绕过漏洞

文章由LinuxBoy分享于2019-04-02 05:04:17热评（247）

Drupal用户只读模块安全绕过漏洞

发布日期：2012-11-15
更新日期：2012-11-17

受影响系统：
Drupal User Read-Only Module 7.x
Drupal User Read-Only Module 6.x
描述：
--------------------------------------------------------------------------------
Drupal是一款开放源码的内容管理平台。

Drupal 6.x-1.x的用户只读模块在执行某些操作时，应用错误地分配了角色，成功利用后可获取管理员权限。

<*来源：Kellie Bradford Delaney

链接：http://secunia.com/advisories/51273/
http://drupal.org/node/1840886
*>

建议：
--------------------------------------------------------------------------------
厂商补丁：

Drupal
------
Drupal已经为此发布了一个安全公告（1840886）以及相应补丁:

1840886：SA-CONTRIB-2012-163 - User Read-Only - Permission escalation

链接：http://drupal.org/node/1840886

推荐文章：

Drupal OM Maximenu模块任意PHP代码执行漏洞
Drupal Drag & Drop Gallery模块upload.php任意文
Drupal Drag & Drop Gallery模块SQL注入漏洞
紧急！Drupal 7.18 和 6.27 同时发布修补多个核
Drupal Live CSS模块任意文件上传漏洞
Drupal Core 多个访问绕过和跨站脚本漏洞

Drupal用户只读模块安全绕过漏洞