------------ACIDFREE - SQL INJECTION------------
* Advisory ID: DRUPAL-SA-2007-003.
* Project: Acidfree (third-party module).
* Version: 4.6.x, 4.7.x
* Date: 2007-Jan-23.
* Security risk: Highly critical.
* Exploitable from: Remote.
* Vulnerability: SQL Injection.
------------DESCRIPTION------------
Under certain circumstances, node titles are not escaped before being used in
an SQL query, allowing a malicious user with the 'create acidfree albums'
privilege and the ability to create acidfree content, to execute an SQL
injection attack. These attacks may lead to administrator access.
------------VERSIONS AFFECTED------------
All versions before
* Acidfree 4.6.x-1.0.
* Acidfree 4.7.x-1.0.
Drupal core is not affected. If you do not use the contributed Acidfree module,
there is nothing you need to do.
------------SOLUTION------------
Install the latest version:
* Acidfree 4.6.x-1.0 [http://drupal.org/node/112026].
* Acidfree 4.7.x-1.0 [http://drupal.org/node/112023].
See also the Acidfree project page [http://drupal.org/project/acidfree].
------------REPORTED BY------------
Brett Yagel (yagel).
------------CONTACT------------
The security contact for Drupal can be reached at security at drupal.org or via
the form at [http://drupal.org/contact].
-----------------------------------------------------------------------------
deze module gebruik ik wel,
wel de
4.7.x-1.x-dev-versie en niet de 4.7.0-versie
maar toch weer eens tijd om voor de zekerheid te updaten
(al had ik dit een paar weken geleden voor deze module ook al eens gedaan)
wel laat ik anonieme gebruikers natuurlijk geen afbeeldingen uploaden of
wijzigingen (ondanks dat dit mogelijk is) waardoor deze nergens user-input heeft en dus via userinput geen sql kan geïnjecteerd worden
maar het is natuurlijk goed dat drupal zijn Security announcements nogal angstaanjagend opstelt
Aanmelden
Registreren
FAQ
Zoeken
