Drupal中的Devel模块跨站脚本漏洞

漏洞介绍

Drupal是很著名的开源内容管理平台，仿照了blog程序模式，但比普通的blog更灵活，可以做各种网站的内容管理平台。

Drupal中的Devel模块5.x-1.3之前的5.x版本和6.x-1.21之前的6.x版本中的Performance logging模块存在跨站脚本攻击漏洞。远程认证用户可以借助特制的URL节点路径添加URL别名和报告访问权限，注入任意web脚本或HTML。

目前厂商已经发布了升级补丁以修复此安全问题，补丁获取链接：

http://drupal.org/project/devel

来源: XF

名称: devel-nodepath-xss(60905)

链接：http://xforce.iss.net/xforce/xfdb/60905
来源: BID

名称: 42231

链接：http://www.securityfocus.com/bid/42231
来源: SECUNIA

名称: 40844

链接：http://secunia.com/advisories/40844
来源: OSVDB

名称: 66889

链接：http://osvdb.org/66889
来源: drupal.org

链接：http://drupal.org/node/874132
来源: drupal.org

链接：http://drupal.org/node/874130