开源 CMS Drupal 修复 XSS 和开放重定向漏洞

 聚焦源代码安全,网罗国内外最新资讯!

编译:奇安信代码卫士团队

开源 CMS Drupal 的更新修复了跨站脚本 (XSS) 漏洞和开放重定向漏洞,不过这些它们仅被评为“中危”级别。

Drupal 7.70 修复了一个开放重定向漏洞,它和“对drupal_toto() 函数中的目标查询参数验证不充分”相关。攻击者能够诱骗用户点击一个特殊构造的链接,利用该缺陷将用户重定向至任意 URL。

XSS 漏洞同时也影响 Drupal 8.8和8.7 版本,不过这两个版本不受开放重定向漏洞影响。Drupal 8.8.6 和 8.7.14 已修复了这些 XSS 漏洞。

Drupal表示,“这个 Drupal 安全更新使修复方案向后兼容到相关的 jQuery 函数,而无需对包含在 Drupal 内核中或借助某些其它模块如 jQuery 更新在网站上运行的 jQuery 版本做出任何更改。无需更新安装了该模块的 Drupal 7 网站上的 jquery_update。”

Drupal补充表示,“向后兼容性代码已添加,以最大程度地减少可能依赖 jQuery 先前行为的 Drupal 网站的回归。使用 jQuery 3.5,对于通常需要使用结束标记的元素,JavaScript 中不正确的自动关闭 HTML 标记将导致 jQuery 返回或插入的内容发生变化。为了最大程度地减少 8.8.x 和更早版本中的中断问题,此安全发行版保留了 jQuery 对大多数安全标签的先前行为。对于边缘情况可能还存在回归,包括 IE 浏览器上无效的自关闭的自定义元素。”

这是 Drupal 在2020年发布的第二轮安全更新。三月份,Drupal 公司宣布修复影响 CKEditor 开源编辑器 WYSIWYG 的两个中危 XSS 漏洞。

去年,Drupal 公司共发布了七次安全更新。虽然它遭攻击的频率不及 WordPress,但黑客也通过利用 Drupal 漏洞劫持网站。


推荐阅读

Drupal 更新开源编辑器 CKEditor,修复两个 XSS 漏洞

原文链接

https://www.securityweek.com/xss-open-redirect-vulnerabilities-patched-drupal

题图:Pixabay License

本文由奇安信代码卫士编译,不代表奇安信观点。转载请注明“转自奇安信代码卫士 www.codesafe.cn”。

奇安信代码卫士 (codesafe)

国内首个专注于软件开发安全的

产品线。

    点个 “在看” ,加油鸭~

评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值