Drupal SA-CONTRIB-2009-036: 服務模組金鑰式存取繞過
medium Nessus Plugin ID 39365
語系:
概要
遠端 Web 伺服器包含一個受驗證繞過弱點影響的 PHP 應用程式。說明
遠端主機上執行的 Drupal 版本包含第三方服務模組,可提供使用 XMLRPC、SOAP、REST、AMF 或其他此類介面整合外部應用程式與 Drupal 的方法。其目前已設定為使用驗證 token 或「金鑰」進行驗證,且包含一個允許未經驗證的遠端攻擊者檢視或新增金鑰的缺陷。根據公開的基礎服務的存取控制檢查,攻擊者有可能存取其通常無法存取的服務。解決方案
升級至 Services 6.x-0.14 或更新版本。另請參閱
Plugin 詳細資訊
嚴重性: Medium
ID: 39365
檔案名稱: drupal_services_keys_bypass.nasl
版本: 1.23
類型: remote
系列: CGI abuses
已發布: 2009/6/11
已更新: 2022/4/11
組態: 啟用徹底檢查
支援的感應器: Nessus
風險資訊
VPR
風險因素: Low
分數: 3.7
CVSS v2
風險因素: Medium
基本分數: 6.4
時間分數: 4.7
媒介: CVSS2#AV:N/AC:L/Au:N/C:P/I:P/A:N
弱點資訊
CPE: cpe:/a:drupal:drupal, cpe:/a:drupal:services_module_for_drupal
必要的 KB 項目: www/PHP, installed_sw/Drupal
可輕鬆利用: No known exploits are available
修補程式發佈日期: 2009/6/10
弱點發布日期: 2009/6/10
參考資訊
CVE: CVE-2009-2035
BID: 35292
SECUNIA: 33371