Drupal Live CSS模块任意文件上传漏洞

qianxiaona 2013-01-22

发布日期:2013-01-17
更新日期:2013-01-22

受影响系统:
Drupal Live CSS Module 7.x
 Drupal Live CSS Module 6.x
描述:
--------------------------------------------------------------------------------
BUGTRAQ  ID: 57436
 
Live CSS模块可以呈现并实时编辑LESS样式表。

Live CSS 7.x-2.x 允许上传任意扩展名的文件到webroot内的文件夹中,通过上传恶意的PHP脚本,此漏洞可导致任意PHP代码执行。要成功利用此漏洞需要“administer CSS”权限。
 
<*来源:Ryan Garrett
 
  链接:http://drupal.org/node/1890318
 *>

建议:
--------------------------------------------------------------------------------
厂商补丁:
 
Drupal
 ------
 Drupal已经为此发布了一个安全公告(1890318)以及相应补丁:
 
1890318:SA-CONTRIB-2013-004 - Live CSS - Arbitrary Code Execution
 
链接:http://drupal.org/node/1890318

相关推荐

会写code的凳子哥 / 0评论 2011-07-19