漏洞信息(CVE-2014-3704)

一、漏洞 CVE-2014-3704 基础信息

漏洞标题

N/A

来源：AIGC 神龙大模型

漏洞描述信息

在 Drupal 核心 7.x 版本在 7.32 之前，数据库抽象 API 中的 expandArguments 函数未能正确构建预编译语句，这导致远程攻击者可以通过包含精心构造的键的数组进行 SQL 注入攻击。

来源：AIGC 神龙大模型

CVSS信息

CVSS:3.1/AV:N/AC:L/PR:N/UI:N/S:U/C:H/I:H/A:H

来源：AIGC 神龙大模型

漏洞类别

N/A

来源：AIGC 神龙大模型

漏洞标题

N/A

来源：美国国家漏洞数据库 NVD

漏洞描述信息

The expandArguments function in the database abstraction API in Drupal core 7.x before 7.32 does not properly construct prepared statements, which allows remote attackers to conduct SQL injection attacks via an array containing crafted keys.

来源：美国国家漏洞数据库 NVD

CVSS信息

N/A

来源：美国国家漏洞数据库 NVD

漏洞类别

N/A

来源：美国国家漏洞数据库 NVD

漏洞标题

Drupal core SQL注入漏洞

来源：中国国家信息安全漏洞库 CNNVD

漏洞描述信息

Drupal是Drupal社区所维护的一套用PHP语言开发的免费、开源的内容管理系统。 Drupal core 7.3之前7.x版本中的database abstraction API中‘expandArguments’函数存在安全漏洞，该漏洞源于程序没有正确构造预处理语句。远程攻击者可借助带有特制键的数组利用该漏洞实施SQL注入攻击。

来源：中国国家信息安全漏洞库 CNNVD

CVSS信息

N/A

来源：中国国家信息安全漏洞库 CNNVD

漏洞类别

SQL注入

来源：中国国家信息安全漏洞库 CNNVD

二、漏洞 CVE-2014-3704 的公开POC

#	POC 描述	源链接	神龙链接
1	None	https://github.com/happynote3966/CVE-2014-3704	POC详情
2	CVE-2014-3704 aka Drupalgeddon - Form-Cache Injection Method	https://github.com/AleDiBen/Drupalgeddon	POC详情
3	An rewritten POC on the CVE-2014-3704	https://github.com/RasmusKnothNielsen/Drupalgeddon-Python3	POC详情
4	An rewritten POC on the CVE-2014-3704	https://github.com/Neldeborg/Drupalgeddon-Python3	POC详情
5	This code is taken from "Drupal 7.0 < 7.31 - 'Drupalgeddon' SQL Injection (Add Admin User)" and was converted to Python 3 to suit the exercise in Academy for Module "Attacking Commoon Applications" and section "Attacking Drupal".	https://github.com/joaomorenorf/CVE-2014-3704	POC详情

三、漏洞 CVE-2014-3704 的情报信息

http://packetstormsecurity.com/files/128741/Drupal-HTTP-Parameter-Key-Value-SQL-Injection.html x_refsource_MISC
http://packetstormsecurity.com/files/128720/Drupal-7.X-SQL-Injection.html x_refsource_MISC
https://www.sektioneins.de/en/blog/14-11-03-drupal-sql-injection-vulnerability-PoC.html x_refsource_MISC
http://packetstormsecurity.com/files/128721/Drupal-7.31-SQL-Injection.html x_refsource_MISC
https://www.drupal.org/SA-CORE-2014-005 x_refsource_CONFIRM
https://www.sektioneins.de/en/advisories/advisory-012014-drupal-pre-auth-sql-injection-vulnerability.html x_refsource_MISC
http://www.exploit-db.com/exploits/35150 exploit x_refsource_EXPLOIT-DB
http://secunia.com/advisories/59972 third-party-advisory x_refsource_SECUNIA
http://www.exploit-db.com/exploits/34984 exploit x_refsource_EXPLOIT-DB
http://www.exploit-db.com/exploits/34992 exploit x_refsource_EXPLOIT-DB
http://www.securityfocus.com/bid/70595 vdb-entry x_refsource_BID
http://www.exploit-db.com/exploits/34993 exploit x_refsource_EXPLOIT-DB
http://osvdb.org/show/osvdb/113371 vdb-entry x_refsource_OSVDB
http://www.debian.org/security/2014/dsa-3051 vendor-advisory x_refsource_DEBIAN
http://www.securityfocus.com/archive/1/533706/100/0/threaded mailing-list x_refsource_BUGTRAQ
http://seclists.org/fulldisclosure/2014/Oct/75 mailing-list x_refsource_FULLDISC
http://www.openwall.com/lists/oss-security/2014/10/15/23 mailing-list x_refsource_MLIST
https://nvd.nist.gov/vuln/detail/CVE-2014-3704

一、 漏洞 CVE-2014-3704 基础信息

漏洞标题

漏洞描述信息

CVSS信息

漏洞类别

漏洞标题

漏洞描述信息

CVSS信息

漏洞类别

漏洞标题

漏洞描述信息

CVSS信息

漏洞类别

二、漏洞 CVE-2014-3704 的公开POC

三、漏洞 CVE-2014-3704 的情报信息

一、漏洞 CVE-2014-3704 基础信息