关键信息 漏洞编号: DRUPAL-SA-2007-001 项目: Drupal core 日期: 2007-01-05 安全风险级别: 较低 可利用方式: 远程 漏洞类型: 跨站脚本(Cross-Site Scripting, XSS) 受影响版本 Drupal 4.6.x版本(在Drupal 4.6.11之前) Drupal 4.7.x版本(在Drupal 4.7.5之前) 修复方案 升级 如果运行Drupal 4.6.x,升级到Drupal 4.6.11。 - 下载链接 如果运行Drupal 4.7.x,升级到Drupal 4.7.5。 - 下载链接 补丁 Drupal 4.6.10使用补丁 Drupal 4.7.4使用补丁 描述 URL中传递的少数参数在显示前未正确清理。当攻击者诱使管理员点击特制链接,可以注入并执行任意HTML和脚本代码,导致在特定条件下可能获得管理员权限。 报告者 匿名,通过JPCERT报告。 联系方式 Drupal的安全联系邮箱为security@drupal.org或通过表格。