Drupal comment模块多个远程权限许可和访问控制漏洞

CNNVD-ID编号	CNNVD-201009-219	CVE编号	CVE-2010-3093
发布时间	2010-09-25	更新时间	2010-09-25
漏洞类型	权限许可和访问控制	漏洞来源	Dylan Tack, Justin Klein Keane and Heine Deelstra
危险等级	低危	威胁类型	远程
厂商	drupal

漏洞介绍

Drupal是很著名的开源内容管理平台，仿照了blog程序模式，但比普通的blog更灵活，可以做各种网站的内容管理平台。

Drupal 5.23之前的5.x版本和6.18之前的6.x版本中存中的comment模块中存在权限许可和访问控制漏洞。带有特定权限的远程认证用户可以借助特制的URL绕过访问限制并复原被移除的comment。

目前厂商已经发布了升级补丁以修复此安全问题，补丁获取链接：

http://drupal.org/node/880476

来源: drupal.org

链接：http://drupal.org/node/880476
来源: BID

名称: 42391

链接：http://www.securityfocus.com/bid/42391
来源: DEBIAN

名称: DSA-2113

链接：http://www.debian.org/security/2010/dsa-2113
来源: MLIST

名称: [oss-security] 20100913 Re: CVE id requests: drupal

链接：http://marc.info/?l=oss-security&m=128440896914512&w=2