漏洞标题
N/A
漏洞描述信息
在 Drupal 7.x 版本7.5之前,发现了一个访问绕过问题。如果一个 Drupal 网站有能力将文件上传字段附加到系统任何实体类型上,或者有能力将单个文件上传字段指向评论中的私有文件目录,并且 parent 节点被禁止访问,非特权用户仍然可以下载评论中附加的文件,如果他们知道或猜测其直接 URL。
CVSS信息
CVSS:3.1/AV:N/AC:L/PR:N/UI:N/S:U/C:H/I:N/A:N
漏洞类别
N/A
漏洞标题
N/A
漏洞描述信息
An access bypass issue was found in Drupal 7.x before version 7.5. If a Drupal site has the ability to attach File upload fields to any entity type in the system or has the ability to point individual File upload fields to the private file directory in comments, and the parent node is denied access, non-privileged users can still download the file attached to the comment if they know or guess its direct URL.
CVSS信息
N/A
漏洞类别
N/A
漏洞标题
Drupal 安全漏洞
漏洞描述信息
Drupal是Drupal社区的一套使用PHP语言开发的开源内容管理系统。 Drupal 7.5之前的7.x版本中存在安全漏洞。攻击者可利用该漏洞下载评论附带的文件。
CVSS信息
N/A
漏洞类别
其他