Drupal Database Abstraction API SQL注入漏洞

focuseven 2014-10-17

发布日期:2014-10-16
更新日期:2014-10-17

受影响系统:
Drupal Drupal 7.x
描述:
CVE(CAN) ID: CVE-2014-3704

 Drupal是使用PHP语言编写的开源内容管理框架(CMF),它由内容管理系统(CMS)和PHP开发框架(Framework)共同构成。

Drupal 7.32之前版本对数据库摘要API接收到的某些输入没有在"Database::expandArguments()" 方法(includes/database/database.inc) 内有效过滤,这可导致注入任意SQL代码,操纵SQL查询。

<*来源:Stefan Horst
  *>

建议:
厂商补丁:

Drupal
 ------
目前厂商已经发布了升级补丁以修复这个安全问题,请到厂商的主页下载:

http://drupal.org/node/

 SA-CORE-2014-005:
https://www.drupal.org/SA-CORE-2014-005

 Stefan Horst:
https://www.sektioneins.de/advisories/advisory-012014-drupal-pre-auth-sql-injection-vulnerability.html

Drupal 的详细介绍:请点这里
Drupal 的下载地址:请点这里

focuseven

focuseven

相关推荐

nginx下drupal 8升级update.php/selection 错误

在drupal 8 伪静态文件中添加几行代码。保存后,停止并重新启动nginx服务,顺利升级。如果页面无法访问,重启服务器就好。

yongzhang / 0评论 2019-12-09

[drupal]Boost - 为网站提供静态页面缓存的性能提升利器

Boost 模块为 Drupal 站点提供静态页面缓存,绕过PHP脚本执行和数据库请求,直接为匿名浏览用户提供静态缓存页面,使 Drupal 站点的性能得到非常显著的提升,使网站的可扩展性得到加强。  Boost 模块会为 Drupal 站点缓存及生成gz

huangjingqian / 0评论 2016-07-01

如何让 Drupal 使用 Wordpress 形式的编辑代码?

  如果你曾有过将 Wordpress 网站迁移到 Drupal 的经验,很可能客户会问的第一件事就是如何为 Drupal 添加编辑代码。  Wordpress 中的 Shortcodes 插件让使用者可以在内容中添加各种编辑代码,然后在显示时代码会被转换

WordPress / 0评论 2016-01-29

如何让 Drupal 使用 Wordpress 形式的编辑代码?

  如果你曾有过将 Wordpress 网站迁移到 Drupal 的经验,很可能客户会问的第一件事就是如何为 Drupal 添加编辑代码。  Wordpress 中的 Shortcodes 插件让使用者可以在内容中添加各种编辑代码,然后在显示时代码会被转换

89447517 / 0评论 2016-01-27

为 Drupal 7 网站添加自定义CSS

  当我们在逛聊天室或者论坛时,经常会碰到有人提问怎么向 Drupal网站中添加自定义CSS ——通常来讲,通过Drupal主题来进行添加最好。不过在某些情况下,因为环境限制或网站管理员没有访问主题文件的权限,而不得不考虑其它办法。  今天本文就来介绍一下

vavid / 0评论 2016-01-26

为 Drupal 7 网站添加自定义CSS

  当我们在逛聊天室或者论坛时,经常会碰到有人提问怎么向 Drupal网站中添加自定义CSS ——通常来讲,通过Drupal主题来进行添加最好。不过在某些情况下,因为环境限制或网站管理员没有访问主题文件的权限,而不得不考虑其它办法。  今天本文就来介绍一下

ozhanjun / 0评论 2016-01-22

Integrating Alfresco Content into a Drupal Site

I've been on a bit of a tear with CMIS lately. Every time I have a project requirement that mentions document storage or a docum

Zybzzz / 0评论 2013-04-29

开源CMS大PK:WordPress vs Drupal vs Joomla ,谁更强大更好用

从插件、模块、扩展和模板数量上来说,WordPress要高于其他两个CMS,Drupal其次,Joomla!从平均定制费用、维护费用、Google广告每点击花费上进行比较,WordPress更为节省,Joomla!其次,Drupal花费最高。从Google

89447517 / 0评论 2011-07-28

开源php的cms系统Drupal简介

Drupal诞生于2000年,是一个基于PHP语言编写的开发型CMF,即:CMS+ framework。其中 framework是指Drupal内核中的功能强大的PHP类库和PHP函数库,以及在此基础上抽象的Drupal API。在网站开发能力上,Drup

lbcmail / 0评论 2012-09-18

drupal 7 nginx

error_reporting = E_ALL & ~E_DEPRECATED & ~E_STRICT. sudo apt-get install curl libcurl3 libcurl3-dev php5-curl

墨氺 / 0评论 2013-01-19

Drupal : Domain Access Failed to Load During Phase: Bootstrap Include

在使用Drupal的模块Domain Access是遇到错误信息:"Domain access failed to load during phase: bootstrap include. Please check your settings.

nothings0o / 0评论 2011-10-27

内部用Drupal/PHP开发规范1.2

会写code的凳子哥 / 0评论 2011-07-19

围观 Joomla, Wordpress 和 Drupal

但凡接触过互联网的人,大都知道网页和博客,或许您也非常希望能有一个属于自己的网页或者博客。当前,也有各式各样的程序代码可以让你创建一个网站或者博客,我们现在更多的把他们称之为CMS。最近的这几年,wordpress无疑在一步一步的发展成为一个非常优秀的CM

RENYUAN / 0评论 2011-04-17

how the drupal set css/js query string for cache buster

Css/js can be cached by browser, CDN or Varnish cache. If a new version css/js released, we want browser/CDN/Varnish request dru

张大晴 / 0评论 2012-12-13

什么是Drupal?web开发程序员都应该知道

Drupal是开源CMS之一,Drupal是CMS内容管理系统,并且在世界各地使用,受到高度赞赏,Drupal可以作为开源软件免费使用。Drupal大致可以分为基本部分和附加扩展,基本部分称为核心模块,包含作为CMS运行的标准程序,还可以根据要构建的网站随

quickily / 0评论 2019-01-04

最佳开源内容管理系统(CMS)

我在本文中将介绍如今市面上几种最佳的开源CMS方案。没有哪一个答案适合所有人。WordPressDD与盛行的观点相反的是,WordPress并不是人们所说的那种安全恶梦。我们看到WordPress安全方面的核心问题归结为这三个常见问题:。·安全保护不力的数

83133756 / 0评论 2016-10-18

CentOS 7.5 安装部署 Drupal 8.6.4 图文详解

Drupal 8.6.4是目前一款流行的Drupal内容管理系统的最新版本。本指南详细演示了如何在运行CentOS 7.5或CentOS 7.x上安装部署Drupal 8.6.4的详细步骤及注意事项。本指南将尽可能地使用sudo。Drupal 可以运行在诸

zhaoweiping / 0评论 2018-12-14

Drupal 警告新的远程代码执行高危漏洞

一个月内的第二次,流行开源内容管理系统 Drupal 对新的远程代码执行高危漏洞发出了警告。新的远程代码执行漏洞编号 CVE-2018-7602,影响 Drupal 7.x 和 8.x,该漏洞潜在允许攻击者利用多个攻击向量入侵使用 Drupal 的网站。该

信息安全 / 0评论 2018-04-26

Drupal现已修复内核高危远程代码执行漏洞

Drupal CMS团队修复了一个重要安全漏洞,黑客可以通过访问URL接管网站。Drupal站长们应该立即更新到Drupal 7.58或Drupal 8.5.1。Drupal团队上周早些时候预告了今天的补丁,当时它表示“在今天披露后黑客可能会在数小时或数天

xrslt / 0评论 2018-03-29

Drupal 发出高危漏洞警告

流行的开源内容管理系统 Drupal 发布了一则高危漏洞警告,基本上所有的 Drupal 网站或超过 100 万网站受到影响。公告称,Drupal 7.x 和 8.x 的多个子系统内发现了一个远程代码执行漏洞,允许攻击者在 Drupal 网站利用多个攻击向

fzxhsaj / 0评论 2018-03-29

在 RHEL、CentOS 及 Fedora 上安装 Drupal 8

Drupal 是一个开源,灵活,高度可拓展和安全的内容管理系统Content Management System,使用户轻松的创建网站。Drupal 运行在诸如 Apache、IIS、Lighttpd、Cherokee、Nginx 的 Web 服务器上,后

罗承权 / 0评论 2017-04-24

什么是Drupal?web开发程序员都应该知道

Drupal是开源CMS之一,Drupal是CMS内容管理系统,并且在世界各地使用,受到高度赞赏,Drupal可以作为开源软件免费使用。Drupal大致可以分为基本部分和附加扩展,基本部分称为核心模块,包含作为CMS运行的标准程序,还可以根据要构建的网站随

quickily / 0评论 2019-01-04

如何在RHEL、CentOS及Fedora上安装Drupal 8

Drupal 是一个开源,灵活,高度可拓展和安全的内容管理系统Content Management System,使用户轻松的创建网站。Drupal 运行在诸如 Apache、IIS、Lighttpd、Cherokee、Nginx 的 Web 服务器上,后

codemanship / 0评论 2017-04-24

Drupal 漏洞发布7小时内遭自动化攻击,上百万网站经历生死时速

Drupal是今天新闻、博客等内容网站最流行的内容管理平台之一,和安全牛之前报道过的影响170万网站的wordpress插件漏洞一样,Drupal近日也爆出一个影响上百万网站的严重安全漏洞,更糟糕的是漏洞发布7小时内就遭受自动化攻击,这意味着大量Drupa

fengelcs / 0评论 2014-11-01

Drupal Video Module 任意PHP代码执行漏洞

受影响系统:Drupal Video module描述:--------------------------------------------------------------------------------BUGTRAQ ID: 57525Dru

hhxywlzx / 0评论 2013-01-25

Drupal Live CSS模块任意文件上传漏洞

受影响系统:Drupal Live CSS Module 7.xDrupal Live CSS Module 6.x描述:-------------------------------------------------------------------

qianxiaona / 0评论 2013-01-22

Drupal RESTful Web Services模块跨站请求伪造漏洞

受影响系统:Drupal RESTful Web Services Module 7.x描述:--------------------------------------------------------------------------------D

kenabove / 0评论 2012-11-17

Drupal密码策略模块密码哈希信息泄露漏洞

受影响系统:Drupal Password Policy 6.x-1.x描述:--------------------------------------------------------------------------------BUGTRAQ I

Baker / 0评论 2012-11-03

Drupal任意PHP代码执行和信息泄露漏洞

受影响系统:Drupal Drupal 7.x描述:--------------------------------------------------------------------------------BUGTRAQ ID: 56103. Dru

wangchaoxiaoban / 0评论 2012-10-20

Drupal Search Autocomplete模块数据库API SQL注入漏洞

受影响系统:Drupal Search Autocomplete Module 7.x描述:--------------------------------------------------------------------------------BU

SnakeHu / 0评论 2012-10-03

Drupal ‘BrowserID’ 跨站请求伪造漏洞和安全绕过漏洞

发布时间: 2012-05-25漏洞版本:7.x-1.x漏洞描述:Drupal是一款开源CMS,可以作为各种网站的内容管理平台。Drupal的BrowserID模块中存在跨站请求伪造漏洞和安全绕过漏洞。攻击者可利用这些漏洞绕过安全限制进而获取敏感信息,或者

hangshao / 0评论 2012-05-27

小型Drupal数据库备份以及大型站点MySQL备份策略分享

基于drupal的中小行网站,我们可以使用backup_migrate模块,该模块提供了定期备份的功能,备份的时间、保留多少个备份等等设置,设置好之后,定期执行cron即可备份成功。一般的Drupal小站,我们只需使用svn即可,在服务器端,我们把备份好的

mysql0 / 0评论 2019-04-09

Drupal7连接多个数据库及常见问题解决

请认真看看后面的介绍,并如何解决你的问题。允许Drupal连接多个数据库,需要转换$db_url为数组。默认连接单个数据库的URL格式(字符串):

Socrates / 0评论 2014-03-02

Drupal读取Excel并导入数据库实例

PHPExcel 是用来操作Office Excel 文档的一个PHP类库,它基于微软的OpenXML标准和PHP语言。可以使用它来读取、写入不同格式的电子表格,如 Excel .xls, Excel 2007 .xlsx, CSV, Libre/Op

hlyrain / 0评论 2014-03-02

drupal 代码实现URL重写

所以我的做法是写在URL重写模块中,例如subpath_alias

PHP100 / 0评论 2019-03-27

Drupal 添加模块出现莫名其妙的错误的解决方法(往往出现在模块较多时)

状况如下: 1、点击保按钮后,不能正常转到页面,出现空白页面; 2、刷新页面,发出导航中许多项已经没有了,还存在的项点击也不能进入正常的页面。baidu了下,发现有三个解决方法,一一试之,问题解决。现将这些方法记下: 方法一:更改PHP的php.ini文件

PHP100 / 0评论 2019-03-27

php文件上传表单摘自drupal的代码

// If this #attribute is not present, upload will fail on submit. //$file will be 0 if the upload doesn't exist, or the $dest di

PHP100 / 0评论 2019-03-27

Drupal系统构建网站遭遇大规模挖矿攻击 影响全球30多个国家

然而,Drupal的安全性却在近期遭遇来自不法黑客的挑战。腾讯御见威胁情报中心监测发现,大批使用Drupal系统构建的网站正遭到JS挖矿攻击,全球至少30多个国家和地区的数万个网站受到影响,且在被攻击的网站中,互联网、教育、科技机构类的占比最高。腾讯企业安

政见CNPolitics拆掉知识的高墙 / 0评论 2018-05-24