Drupal Database Abstraction API SQL注入漏洞
发布日期:2014-10-16
更新日期:2014-10-17
受影响系统:
Drupal Drupal 7.x
描述:
CVE(CAN) ID: CVE-2014-3704
Drupal是使用PHP语言编写的开源内容管理框架(CMF),它由内容管理系统(CMS)和PHP开发框架(Framework)共同构成。
Drupal 7.32之前版本对数据库摘要API接收到的某些输入没有在"Database::expandArguments()" 方法(includes/database/database.inc) 内有效过滤,这可导致注入任意SQL代码,操纵SQL查询。
<*来源:Stefan Horst
*>
建议:
厂商补丁:
Drupal
------
目前厂商已经发布了升级补丁以修复这个安全问题,请到厂商的主页下载:
SA-CORE-2014-005:
https://www.drupal.org/SA-CORE-2014-005
Stefan Horst:
https://www.sektioneins.de/advisories/advisory-012014-drupal-pre-auth-sql-injection-vulnerability.html
Drupal 的详细介绍:请点这里
Drupal 的下载地址:请点这里
相关推荐
yongzhang 2019-12-09
huangjingqian 2016-07-01
WordPress 2016-01-29
89447517 2016-01-27
vavid 2016-01-26
ozhanjun 2016-01-22
Zybzzz 2013-04-29
89447517 2011-07-28
lbcmail 2012-09-18
墨氺 2013-01-19
nothings0o 2011-10-27
RENYUAN 2011-04-17
张大晴 2012-12-13
quickily 2019-01-04
83133756 2016-10-18
zhaoweiping 2018-12-14
信息安全 2018-04-26
xrslt 2018-03-29