N/A

Cross-site scripting (XSS) vulnerability in the Protected Node module 5.x before 5.x-1.4 and 6.x before 6.x-1.5, a module for Drupal, allows remote authenticated users with "administer site configuration" permissions to inject arbitrary web script or HTML via the Password page info field, which is not properly handled by the protected_node_enterpassword function in protected_node.module.

N/A

N/A

Drupal Protected Node模块脚本注入漏洞

Drupal的Protected Node模块可通过口令限制对节点的访问。 protected_node.module模块的protected_node_enterpassword()函数没有正确地过滤用户提供输入，272到274行使用以下语句显示出用户提供的文本： $form['protected_node'] = array( '#value' => $info ); 由于没有使用check_plain()或类似的函数过滤$info变量，当q设置为admin/settings/protected_no

N/A

N/A