Drupal Scald模块跨站脚本漏洞

QQ空间 新浪微博 微信 QQ facebook twitter
漏洞ID 1166605 漏洞类型 跨站脚本
发布时间 2013-08-22 更新时间 2013-08-22
CVE编号 CVE-2013-5315 CNNVD-ID CNNVD-201308-287
漏洞平台 N/A CVSS评分 2.6
|漏洞来源
http://www.cnnvd.org.cn/web/xxk/ldxqById.tag?CNNVD=CNNVD-201308-287
|漏洞详情
Drupal是Drupal社区所维护的一套用PHP语言开发的免费、开源的内容管理系统。Scald是其中的一个用于处理媒体原子(MediaAtoms)的模块。Drupal平台下的Scald模块6.x-1.0-beta3之前的6.x-1.x版本和Scald模块7.x-1.1之前的7.x-1.x版本中的MEE子模块(mee.module)中的资源管理器中存在跨站脚本漏洞。远程攻击者可通过atom标题利用该漏洞注入任意Web脚本或HTML代码。
|参考资料

来源:drupal.org
链接:https://drupal.org/node/2049415
来源:drupal.org
链接:https://drupal.org/node/2049239
来源:XF
名称:scald-atomtitle-xss(85964)
链接:http://xforce.iss.net/xforce/xfdb/85964
来源:BID
名称:61426
链接:http://www.securityfocus.com/bid/61426
来源:SECUNIA
名称:54144
链接:http://secunia.com/advisories/54144
来源:FULLDISC
名称:20130724[Security-news]SA-CONTRIB-2013-060-Scald-CrossSiteScripting(XSS)
链接:http://seclists.org/fulldisclosure/2013/Jul/224
来源:OSVDB
名称:95625
链接:http://osvdb.org/95625
来源:drupalcode.org
链接:http://drupalcode.org/project/scald.git/commitdiff/32db1ee
来源:drupalcode.org
链接:http://drupalcode.org/project/scald.git/blobdiff/9ce68f67a25200afa5256f567ef89bc4b9fd705e..974a5e29f502a58e6a955d69a85bb5f16c1c8b3e:/mee/mee.module