| CVE編號 | 尚無CVE編號 |
|---|---|
| 影響產品 | •Drupal core 6.x versions prior to 6.37 Drupal core 7.x versions prior to 7.39 |
| 解決辦法 | •原廠發布更新連結 若使用的是Drupal core 6.x請參考更新至6.37版https://www.drupal.org/drupal-6.37-release-notes,若使用Drupal core 7.x ,請參考更新至7.39版https://www.drupal.org/drupal-7.39-release-notes |
| 張貼日 | 2015-08-24 |
| 上稿單位 | TWCERT/CC |
•Drupal 是一套開放源碼的內容管理平台
•本次更新修補多個漏洞,包含Cross-site Scripting、SQL Injection、Access bypass等問題,其中駭客可以藉由調用HTML白名單中的Drupal..ajax()來觸發Cross-site Scripting漏洞。
•編註:駭客可以透過XSS技術,可利用蒐集來的帳號和密碼進行資料竊取,造成機敏資訊外洩。而駭客透過SQL injection造成資料庫中的資料遭破壞等問題。