focuseven 2014-10-17
发布日期:2014-10-16
更新日期:2014-10-17
受影响系统:
Drupal Drupal 7.x
描述:
CVE(CAN) ID: CVE-2014-3704
Drupal是使用PHP语言编写的开源内容管理框架(CMF),它由内容管理系统(CMS)和PHP开发框架(Framework)共同构成。
Drupal 7.32之前版本对数据库摘要API接收到的某些输入没有在"Database::expandArguments()" 方法(includes/database/database.inc) 内有效过滤,这可导致注入任意SQL代码,操纵SQL查询。
<*来源:Stefan Horst
*>
建议:
厂商补丁:
Drupal
------
目前厂商已经发布了升级补丁以修复这个安全问题,请到厂商的主页下载:
SA-CORE-2014-005:
https://www.drupal.org/SA-CORE-2014-005
Stefan Horst:
https://www.sektioneins.de/advisories/advisory-012014-drupal-pre-auth-sql-injection-vulnerability.html
Drupal 的详细介绍:请点这里
Drupal 的下载地址:请点这里