漏洞标题
N/A
漏洞描述信息
在 Drupal 6.x 版本在 6.38 之前,Form API 忽略提交按钮的访问限制,这可能导致远程攻击者通过利用权限提交一个在服务器端表单定义中 "#access" 设置为 FALSE 的按钮来绕过预期的限制。
CVSS信息
CVSS:3.1/AV:N/AC:L/PR:N/UI:N/S:U/C:N/I:H/A:N
漏洞类别
N/A
漏洞标题
N/A
漏洞描述信息
The Form API in Drupal 6.x before 6.38 ignores access restrictions on submit buttons, which might allow remote attackers to bypass intended access restrictions by leveraging permission to submit a form with a button that has "#access" set to FALSE in the server-side form definition.
CVSS信息
N/A
漏洞类别
N/A
漏洞标题
Drupal Form API 访问绕过漏洞
漏洞描述信息
Drupal是Drupal社区所维护的一套用PHP语言开发的免费、开源的内容管理系统。Form API是其中的一个用来创建表单的API模块。 Drupal 6.38之前6.x版本的Form API中存在安全漏洞,该漏洞源于程序没有限制使用提交按钮。远程攻击者可借助提交按钮(服务器端的‘#access’设置为‘FALSE’)使用权限利用该漏洞绕过既定的访问限制。
CVSS信息
N/A
漏洞类别
授权问题