Drupal 7.x < 7.24 多种漏洞

medium Nessus 插件 ID 71145

语言：

简介

远程 Web 服务器正在运行受到多种漏洞影响的 PHP 应用程序。

描述

远程 Web 服务器运行的 Drupal 版本是低于 7.24 的 7.x。因此，它可能受到多种漏洞的影响：

- 存在与第三方模块使用的 HTML 表单 API 和验证回调相关的错误，可允许攻击者绕过跨站请求伪造保护。(CVE-2013-6385)

- 用于生成伪随机数的函数 mt_rand() 中存在错误，可允许攻击者通过暴力破解获取种子。
(CVE-2013-6386)

- “图像”模块中存在用户输入验证错误，可允许通过图像字段描述参数进行持久跨站脚本攻击。
(CVE-2013-6387)

- “颜色”模块中存在用户输入验证错误，可允许通过不明输入进行跨站脚本攻击。(CVE-2013-6388)

- 存在与管理员页面和重叠有关的错误，可允许通过任意重定向来诱骗用户向恶意网站发起请求。(CVE-2013-6389)

- 在其中应用程序代码不能阻止执行上传的文件的 Apache Web 服务器上，可能上传任意 PHP 文件并导致它们执行。请注意，如果预期修复是升级，并且服务器是 Apache 服务器，则需要手动修复。(BID 63845)

- 函数 drupal_valid_token() 中存在错误，可允许该函数验证无效的标记，因而发生安全绕过。请注意，攻击者必须能够使非字符串值传递到该函数才可成功进行攻击。(BID 63849)

请注意，Nessus 并未测试这些问题，而是只依赖于应用程序自我报告的版本号。