Drupal up to 7.31 Database Abstraction API expandArguments SQL注入

admin
admin
admin
0
文章
0
评论
2023-11-25 01:38:41 Ali_highrisk 来源:ZONE.CI 全球网 0 阅读模式
严重 Drupal up to 7.31 Database Abstraction API expandArguments SQL注入

CVE编号

CVE-2014-3704

利用情况

EXP 已公开

补丁情况

官方补丁

披露时间

2014-10-16
漏洞描述
Drupal是使用PHP语言编写的开源内容管理框架(CMF),它由内容管理系统(CMS)和PHP开发框架(Framework)共同构成。 Drupal Core存在SQL注入漏洞。攻击者可利用此漏洞提升特权,执行任意代码。
解决建议
目前厂商已经发布了升级补丁以修复这个安全问题,请到厂商的主页下载:https://www.drupal.org/
参考链接
http://osvdb.org/show/osvdb/113371
http://packetstormsecurity.com/files/128720/Drupal-7.X-SQL-Injection.html
http://packetstormsecurity.com/files/128721/Drupal-7.31-SQL-Injection.html
http://packetstormsecurity.com/files/128741/Drupal-HTTP-Parameter-Key-Value-S...
http://seclists.org/fulldisclosure/2014/Oct/75
http://secunia.com/advisories/59972
http://www.debian.org/security/2014/dsa-3051
http://www.exploit-db.com/exploits/34984
http://www.exploit-db.com/exploits/34992
http://www.exploit-db.com/exploits/34993
http://www.exploit-db.com/exploits/35150
http://www.openwall.com/lists/oss-security/2014/10/15/23
http://www.securityfocus.com/archive/1/533706/100/0/threaded
http://www.securityfocus.com/bid/70595
https://www.drupal.org/SA-CORE-2014-005
https://www.sektioneins.de/en/advisories/advisory-012014-drupal-pre-auth-sql-...
https://www.sektioneins.de/en/blog/14-11-03-drupal-sql-injection-vulnerabilit...
受影响软件情况
# 类型 厂商 产品 版本 影响面
1
运行在以下环境
应用 drupal drupal_core 7.0 -
运行在以下环境
应用 drupal drupal_core 7.01 -
运行在以下环境
应用 drupal drupal_core 7.02 -
运行在以下环境
应用 drupal drupal_core 7.03 -
运行在以下环境
应用 drupal drupal_core 7.04 -
运行在以下环境
应用 drupal drupal_core 7.05 -
运行在以下环境
应用 drupal drupal_core 7.06 -
运行在以下环境
应用 drupal drupal_core 7.07 -
运行在以下环境
应用 drupal drupal_core 7.08 -
运行在以下环境
应用 drupal drupal_core 7.09 -
运行在以下环境
应用 drupal drupal_core 7.10 -
运行在以下环境
应用 drupal drupal_core 7.11 -
运行在以下环境
应用 drupal drupal_core 7.12 -
运行在以下环境
应用 drupal drupal_core 7.13 -
运行在以下环境
应用 drupal drupal_core 7.14 -
运行在以下环境
应用 drupal drupal_core 7.15 -
运行在以下环境
应用 drupal drupal_core 7.16 -
运行在以下环境
应用 drupal drupal_core 7.17 -
运行在以下环境
应用 drupal drupal_core 7.18 -
运行在以下环境
应用 drupal drupal_core 7.19 -
运行在以下环境
应用 drupal drupal_core 7.20 -
运行在以下环境
应用 drupal drupal_core 7.21 -
运行在以下环境
应用 drupal drupal_core 7.22 -
运行在以下环境
应用 drupal drupal_core 7.23 -
运行在以下环境
应用 drupal drupal_core 7.24 -
运行在以下环境
应用 drupal drupal_core 7.25 -
运行在以下环境
应用 drupal drupal_core 7.26 -
运行在以下环境
应用 drupal drupal_core 7.27 -
运行在以下环境
应用 drupal drupal_core 7.28 -
运行在以下环境
应用 drupal drupal_core 7.29 -
运行在以下环境
应用 drupal drupal_core 7.30 -
运行在以下环境
应用 drupal drupal_core 7.31 -
运行在以下环境
系统 debian DPKG * Up to (excluding) 7.32-1
运行在以下环境
系统 debian_7 drupal7 * Up to (excluding) 7.14-2+deb7u7
运行在以下环境
系统 fedora_21 drupal7 * Up to (excluding) 7.32-1.fc21
运行在以下环境
系统 fedora_EPEL_5 drupal7 * Up to (excluding) 7.32-1.el5
运行在以下环境
系统 fedora_EPEL_6 drupal7 * Up to (excluding) 7.32-1.el6
运行在以下环境
系统 ubuntu_12.04.5_lts drupal7 * Up to (excluding) 7.12-1ubuntu0.1
运行在以下环境
系统 ubuntu_14.04 drupal7 * Up to (excluding) 7.26-1ubuntu0.1
运行在以下环境
系统 ubuntu_14.04.6_lts drupal7 * Up to (excluding) 7.26-1ubuntu0.1
阿里云评分 9.4
  • 攻击路径 远程
  • 攻击复杂度 容易
  • 权限要求 无需权限
  • 影响范围 全局影响
  • EXP成熟度 EXP 已公开
  • 补丁情况 官方补丁
  • 数据保密性 数据泄露
  • 数据完整性 传输被破坏
  • 服务器危害 服务器失陷
  • 全网数量 N/A
CWE-ID 漏洞类型
CWE-89 SQL命令中使用的特殊元素转义处理不恰当(SQL注入)
- avd.aliyun.com
weinxin
版权声明
本站原创文章转载请注明文章出处及链接,谢谢合作!
ZONE.CI 全球网 | 安全领域涉猎者-乌云独行地带
ZONE.CI 全球网
安全领域涉猎者-乌云独行地带
ZONE.CI 全球网 | 安全领域涉猎者-乌云独行地带
安全领域涉猎者-乌云独行地带
ZONE.CI 全球网
评论:0   参与:  0