发布日期:2013-01-17
更新日期:2013-01-22
受影响系统:
Drupal Live CSS Module 7.x
Drupal Live CSS Module 6.x
描述:
--------------------------------------------------------------------------------
BUGTRAQ ID: 57436
Live CSS模块可以呈现并实时编辑LESS样式表。
Live CSS 7.x-2.x 允许上传任意扩展名的文件到webroot内的文件夹中,通过上传恶意的PHP脚本,此漏洞可导致任意PHP代码执行。要成功利用此漏洞需要“administer CSS”权限。
<*来源:Ryan Garrett
链接:
*>
建议:
--------------------------------------------------------------------------------
厂商补丁:
Drupal
------
Drupal已经为此发布了一个安全公告(1890318)以及相应补丁:
1890318:SA-CONTRIB-2013-004 - Live CSS - Arbitrary Code Execution
链接: