Drupal Database Abstraction API SQL注入漏洞

发布日期:2014-10-16
更新日期:2014-10-17

受影响系统:
Drupal Drupal 7.x
描述:
CVE(CAN) ID: CVE-2014-3704

 Drupal是使用PHP语言编写的开源内容管理框架(CMF),它由内容管理系统(CMS)和PHP开发框架(Framework)共同构成。

Drupal 7.32之前版本对数据库摘要API接收到的某些输入没有在"Database::expandArguments()" 方法(includes/database/database.inc) 内有效过滤,这可导致注入任意SQL代码,操纵SQL查询。

<*来源:Stefan Horst
  *>

建议:
厂商补丁:

Drupal
 ------
目前厂商已经发布了升级补丁以修复这个安全问题,请到厂商的主页下载:

http://drupal.org/node/

 SA-CORE-2014-005:
https://www.drupal.org/SA-CORE-2014-005

 Stefan Horst:
https://www.sektioneins.de/advisories/advisory-012014-drupal-pre-auth-sql-injection-vulnerability.html

Drupal 的详细介绍:请点这里
Drupal 的下载地址:请点这里

相关推荐