Drupal ‘BrowserID’ 跨站请求伪造漏洞和安全绕过漏洞

hangshao

2012-05-27

关注关注

发布时间: 2012-05-25
漏洞版本:7.x-1.x漏洞描述:Drupal是一款开源CMS，可以作为各种网站的内容管理平台。

Drupal的BrowserID（Mozilla Persona）模块中存在跨站请求伪造漏洞和安全绕过漏洞。

攻击者可利用这些漏洞绕过安全限制进而获取敏感信息，或者执行未授权操作，获取对受影响应用程序的访问，这可能导致进一步的攻击。

BrowserID（Mozilla Persona） 7.x-1.3之前的7.x-1.x版本中存在这些漏洞。<* 参考
http://www.securityfocus.com/bid/53673
*>

安全建议:厂商解决方案

目前厂商已经发布了升级补丁以修复此安全问题，补丁获取链接：
http://drupal.org/node/1597414

drupal 跨站请求伪造跨站攻击信息安全网络安全漏洞

hangshao

0 关注 0 粉丝 0 动态

关注关注

nginx下drupal 8升级update.php/selection 错误

在drupal 8 伪静态文件中添加几行代码。保存后，停止并重新启动nginx服务，顺利升级。如果页面无法访问，重启服务器就好。

yongzhang 2019-12-09

[drupal]Boost - 为网站提供静态页面缓存的性能提升利器

Boost 模块为 Drupal 站点提供静态页面缓存，绕过PHP脚本执行和数据库请求，直接为匿名浏览用户提供静态缓存页面，使 Drupal 站点的性能得到非常显著的提升，使网站的可扩展性得到加强。　　Boost 模块会为 Drupal 站点缓存及生成gz

huangjingqian 2016-07-01

如何让 Drupal 使用 Wordpress 形式的编辑代码？

　　如果你曾有过将 Wordpress 网站迁移到 Drupal 的经验，很可能客户会问的第一件事就是如何为 Drupal 添加编辑代码。　　Wordpress 中的 Shortcodes 插件让使用者可以在内容中添加各种编辑代码，然后在显示时代码会被转换

WordPress 2016-01-29

如何让 Drupal 使用 Wordpress 形式的编辑代码？

89447517 2016-01-27

为 Drupal 7 网站添加自定义CSS

　　当我们在逛聊天室或者论坛时，经常会碰到有人提问怎么向 Drupal网站中添加自定义CSS ——通常来讲，通过Drupal主题来进行添加最好。不过在某些情况下，因为环境限制或网站管理员没有访问主题文件的权限，而不得不考虑其它办法。　　今天本文就来介绍一下

vavid 2016-01-26

为 Drupal 7 网站添加自定义CSS

ozhanjun 2016-01-22

Integrating Alfresco Content into a Drupal Site

I've been on a bit of a tear with CMIS lately. Every time I have a project requirement that mentions document storage or a docum

Zybzzz 2013-04-29

开源CMS大PK：WordPress vs Drupal vs Joomla ，谁更强大更好用

从插件、模块、扩展和模板数量上来说，WordPress要高于其他两个CMS，Drupal其次，Joomla!从平均定制费用、维护费用、Google广告每点击花费上进行比较，WordPress更为节省，Joomla!其次，Drupal花费最高。从Google

89447517 2011-07-28

开源php的cms系统Drupal简介

Drupal诞生于2000年，是一个基于PHP语言编写的开发型CMF，即：CMS+ framework。其中 framework是指Drupal内核中的功能强大的PHP类库和PHP函数库，以及在此基础上抽象的Drupal API。在网站开发能力上，Drup

lbcmail 2012-09-18

drupal 7 nginx

error_reporting = E_ALL & ~E_DEPRECATED & ~E_STRICT. sudo apt-get install curl libcurl3 libcurl3-dev php5-curl

墨氺 2013-01-19

Drupal : Domain Access Failed to Load During Phase: Bootstrap Include

在使用Drupal的模块Domain Access是遇到错误信息："Domain access failed to load during phase: bootstrap include. Please check your settings.

nothings0o 2011-10-27

内部用Drupal/PHP开发规范1.2

会写code的凳子哥 2011-07-19

围观 Joomla, Wordpress 和 Drupal

但凡接触过互联网的人，大都知道网页和博客，或许您也非常希望能有一个属于自己的网页或者博客。当前，也有各式各样的程序代码可以让你创建一个网站或者博客，我们现在更多的把他们称之为CMS。最近的这几年，wordpress无疑在一步一步的发展成为一个非常优秀的CM

RENYUAN 2011-04-17

how the drupal set css/js query string for cache buster

Css/js can be cached by browser, CDN or Varnish cache. If a new version css/js released, we want browser/CDN/Varnish request dru

张大晴 2012-12-13

什么是Drupal？web开发程序员都应该知道

Drupal是开源CMS之一，Drupal是CMS内容管理系统，并且在世界各地使用，受到高度赞赏，Drupal可以作为开源软件免费使用。Drupal大致可以分为基本部分和附加扩展，基本部分称为核心模块，包含作为CMS运行的标准程序，还可以根据要构建的网站随

quickily 2019-01-04

最佳开源内容管理系统（CMS）

我在本文中将介绍如今市面上几种最佳的开源CMS方案。没有哪一个答案适合所有人。WordPressDD与盛行的观点相反的是，WordPress并不是人们所说的那种安全恶梦。我们看到WordPress安全方面的核心问题归结为这三个常见问题：。·安全保护不力的数

83133756 2016-10-18

CentOS 7.5 安装部署 Drupal 8.6.4 图文详解

Drupal 8.6.4是目前一款流行的Drupal内容管理系统的最新版本。本指南详细演示了如何在运行CentOS 7.5或CentOS 7.x上安装部署Drupal 8.6.4的详细步骤及注意事项。本指南将尽可能地使用sudo。Drupal 可以运行在诸

zhaoweiping 2018-12-14

Drupal 警告新的远程代码执行高危漏洞

一个月内的第二次，流行开源内容管理系统 Drupal 对新的远程代码执行高危漏洞发出了警告。新的远程代码执行漏洞编号 CVE-2018-7602，影响 Drupal 7.x 和 8.x，该漏洞潜在允许攻击者利用多个攻击向量入侵使用 Drupal 的网站。该

信息安全 2018-04-26

Drupal现已修复内核高危远程代码执行漏洞

Drupal CMS团队修复了一个重要安全漏洞，黑客可以通过访问URL接管网站。Drupal站长们应该立即更新到Drupal 7.58或Drupal 8.5.1。Drupal团队上周早些时候预告了今天的补丁，当时它表示“在今天披露后黑客可能会在数小时或数天

xrslt 2018-03-29

Drupal 发出高危漏洞警告

流行的开源内容管理系统 Drupal 发布了一则高危漏洞警告，基本上所有的 Drupal 网站或超过 100 万网站受到影响。公告称，Drupal 7.x 和 8.x 的多个子系统内发现了一个远程代码执行漏洞，允许攻击者在 Drupal 网站利用多个攻击向

fzxhsaj 2018-03-29

安科网

Drupal ‘BrowserID’ 跨站请求伪造漏洞和安全绕过漏洞

hangshao

hangshao

相关推荐

nginx下drupal 8升级update.php/selection 错误

[drupal]Boost - 为网站提供静态页面缓存的性能提升利器

如何让 Drupal 使用 Wordpress 形式的编辑代码？

如何让 Drupal 使用 Wordpress 形式的编辑代码？

为 Drupal 7 网站添加自定义CSS

为 Drupal 7 网站添加自定义CSS

Integrating Alfresco Content into a Drupal Site

开源CMS大PK：WordPress vs Drupal vs Joomla ，谁更强大更好用

开源php的cms系统Drupal简介

drupal 7 nginx

Drupal : Domain Access Failed to Load During Phase: Bootstrap Include

内部用Drupal/PHP开发规范1.2

围观 Joomla, Wordpress 和 Drupal

how the drupal set css/js query string for cache buster

什么是Drupal？web开发程序员都应该知道

最佳开源内容管理系统（CMS）

CentOS 7.5 安装部署 Drupal 8.6.4 图文详解

Drupal 警告新的远程代码执行高危漏洞

Drupal现已修复内核高危远程代码执行漏洞

Drupal 发出高危漏洞警告

hangshao