聚焦源代码安全,网罗国内外最新资讯!

编译:奇安信代码卫士团队

开源 CMS Drupal 的更新修复了跨站脚本 (XSS) 漏洞和开放重定向漏洞,不过这些它们仅被评为“中危”级别。

Drupal 7.70 修复了一个开放重定向漏洞,它和“对drupal_toto() 函数中的目标查询参数验证不充分”相关。攻击者能够诱骗用户点击一个特殊构造的链接,利用该缺陷将用户重定向至任意 URL。

XSS 漏洞同时也影响 Drupal 8.8和8.7 版本,不过这两个版本不受开放重定向漏洞影响。Drupal 8.8.6 和 8.7.14 已修复了这些 XSS 漏洞。

Drupal表示,“这个 Drupal 安全更新使修复方案向后兼容到相关的 jQuery 函数,而无需对包含在 Drupal 内核中或借助某些其它模块如 jQuery 更新在网站上运行的 jQuery 版本做出任何更改。无需更新安装了该模块的 Drupal 7 网站上的 jquery_update。”

Drupal补充表示,“向后兼容性代码已添加,以最大程度地减少可能依赖 jQuery 先前行为的 Drupal 网站的回归。使用 jQuery 3.5,对于通常需要使用结束标记的元素,JavaScript 中不正确的自动关闭 HTML 标记将导致 jQuery 返回或插入的内容发生变化。为了最大程度地减少 8.8.x 和更早版本中的中断问题,此安全发行版保留了 jQuery 对大多数安全标签的先前行为。对于边缘情况可能还存在回归,包括 IE 浏览器上无效的自关闭的自定义元素。”

这是 Drupal 在2020年发布的第二轮安全更新。三月份,Drupal 公司宣布修复影响 CKEditor 开源编辑器 WYSIWYG 的两个中危 XSS 漏洞。

去年,Drupal 公司共发布了七次安全更新。虽然它遭攻击的频率不及 WordPress,但黑客也通过利用 Drupal 漏洞劫持网站。

推荐阅读

Drupal 更新开源编辑器 CKEditor,修复两个 XSS 漏洞

原文链接

https://www.securityweek.com/xss-open-redirect-vulnerabilities-patched-drupal

题图:Pixabay License

本文由奇安信代码卫士编译,不代表奇安信观点。转载请注明“转自奇安信代码卫士 www.codesafe.cn”。

奇安信代码卫士 (codesafe)

国内首个专注于软件开发安全的

产品线。

 点个 “在看” ,加油鸭~

开源 CMS Drupal 修复 XSS 和开放重定向漏洞相关推荐

  1. 开源工具 PrivateBin 修复XSS 漏洞

     聚焦源代码安全,网罗国内外最新资讯! 编译:代码卫士 PrivateBin 是热门 ZeroBin 的一个分叉,它是一款在线工具,用于存储信息并通过 256位 AES 在浏览器中加密/解密,即服务器 ...

  2. 开源框架 Drupal 修复多个访问绕过和 CSRF 漏洞

     聚焦源代码安全,网罗国内外最新资讯! 编译:代码卫士 本周三,Drupal 开发人员通知用户称已发布 Drupal 8.9.9.1和9.2版本更新,修复了五个可导致跨站请求伪造 (CSRF) 和访问 ...

  3. Web Hacking 101 中文版 十二、开放重定向漏洞

    十二.开放重定向漏洞 作者:Peter Yaworski 译者:飞龙 协议:CC BY-NC-SA 4.0 描述 根据 OWASP,开放重定向出现在应用接受参数并将用户重定向到该参数值,并且没有对该值 ...

  4. SRC挖掘---web开放重定向漏洞-2day

    在本章中,我们将学习开放重定向漏洞,不是很深入因为需要与其他漏洞结合起来使用,我们这里先做了解. 开放式重定向漏洞使攻击者能够强制 Web 应用程序重定向到攻击者选择的 URL 什么是开放重定向漏洞? ...

  5. linux下访问西门子S7,Siemens SIMATIC S7-1200 CPU开放重定向漏洞(CVE-2015-1048)

    发布日期:2015-01-22 更新日期:2015-01-27 受影响系统: Siemens SIMATIC S7-1200 CPU < V4.1 描述: BUGTRAQ  ID: 72282 ...

  6. 开源内容管理系统Drupal 修复信息泄露和 XSS 漏洞

     聚焦源代码安全,网罗国内外最新资讯! 编译:奇安信代码卫士团队 本周,开源的内容管理系统 Drupal 修复了多个信息泄露和跨站点脚本 (XSS) 漏洞,其中包括一个"严重"级别 ...

  7. Drupal 修复远程代码执行漏洞

     聚焦源代码安全,网罗国内外最新资讯! 编译:奇安信代码卫士团队 周三,Drupal 内容管理系统 (CMS) 发布更新,修复了和不正确清理所上传文件名称有关的一个远程代码执行漏洞 (CVE-2020 ...

  8. 通过开放重定向接管 GitHub Gist 账户,获奖$1万(GitHub $6.1万奖金系列之三)

     聚焦源代码安全,网罗国内外最新资讯! 编译:奇安信代码卫士团队 在上篇文章中,我们探讨了针对每种形式的 CSRF 令牌的绕过,当时我在研究可用于生成 url 的每种方法,试图找到可用于创建所需令牌的 ...

  9. 开源的 Snort 入侵检测系统中存在高危漏洞

     聚焦源代码安全,网罗国内外最新资讯! 编译:代码卫士 开源的思科 Snort 检测和预防系统中存在一个漏洞 (CVE-2022-20685),可触发拒绝服务条件并使其无法抵御恶意流量. 该漏洞的CV ...

最新文章

  1. FreeTextBox License机制的粗浅分析
  2. Git 2.5增加了工作树、改进了三角工作流、性能等诸多方面
  3. 功能强大的滚动播放插件JQ-Slide
  4. Linux (x86) Exploit 开发系列教程之七 绕过 ASLR -- 第二部分
  5. weblit渲染过程
  6. Disruptor 分析
  7. spring data jpa 查询部分字段列名无效问题
  8. Quick-Cocos2d-x初学者游戏教程(五) --------------------- 辅助工具和跳转场景
  9. 这40个Python可视化图表案例,强烈建议收藏!
  10. 设计一个递归算法释放二叉树bt中的所有结点(二叉树采用二叉链表存储结构)
  11. Laravel下载文件及文档
  12. 综述---图像处理中的注意力机制
  13. dmg文件如何安装linux,我怎么能打开.dmg文件?
  14. MyEclipse 10 破解
  15. java学期总结_JAVA学期总结
  16. Blender_1_移动、旋转、缩放
  17. 迄今见过的最好的职业规划的文章
  18. 照片制作手机壳,定制手机壳diy需要什么设备?
  19. 欢迎大家关注我创办的北京圣思园科技有限公司IT高端就业培训
  20. MOS管与三极管比较及应用

热门文章

  1. Java进阶1. Synchronized 关键字
  2. port security violation protect retrict shutdown 之具体解释
  3. 使用System Center Essentials 2007查看计算机的软件清单
  4. mysql实战20 | 幻读是什么,幻读有什么问题?
  5. TypeScript--函数
  6. [AMPPZ2014]Petrol
  7. 第三期 预测——2.输入和输出
  8. linux系统自动执行任务(转)
  9. IOS 四种保存数据的方式
  10. Comet OJ - Contest #3 题解