Menhir Heartbeat模块多个跨站脚本攻击漏洞

CNNVD-ID编号	CNNVD-201005-354	CVE编号	CVE-2010-2048
发布时间	2010-05-27	更新时间	2010-05-27
漏洞类型	跨站脚本	漏洞来源	Sebastian Szalachowski and Jochen Stals (Stalski)
危险等级	低危	威胁类型	远程
厂商	menhir

漏洞介绍

Drupal是很著名的开源内容管理平台，仿照了blog程序模式，但比普通的blog更灵活，可以做各种网站的内容管理平台。

Drupal的Heartbeat模块存在多个跨站脚本攻击漏洞。远程认证用户可以借助未明向量注入任意的web脚本和HTML。

目前厂商已经发布了升级补丁以修复这个安全问题，补丁下载链接：

Drupal Heartbeat 6.x-4.8

Drupal heartbeat-6.x-4.9.tar.gz

http://ftp.drupal.org/files/projects/heartbeat-6.x-4.9.tar.gz

来源: XF

名称: heartbeat-unspecified-xss(58702)

链接：http://xforce.iss.net/xforce/xfdb/58702
来源: BID

名称: 40268

链接：http://www.securityfocus.com/bid/40268
来源: SECUNIA

名称: 39893

链接：http://secunia.com/advisories/39893
来源: drupal.org

链接：http://drupal.org/node/803570