Drupal 4.5.0到4.5.5和4.6.0到4.6.3版本的 file.inc中存在解释冲突。经过验证的远程用户可以借助带GIF或JPEG文件扩展名的文件中的HTML,注入任意Web脚本或HTML ,使得在Internet Explorer 中浏览文件的受害者执行该 HTML 。
Drupal 4.5.0到4.5.5和4.6.0到4.6.3版本的 file.inc中存在解释冲突。经过验证的远程用户可以借助带GIF或JPEG文件扩展名的文件中的HTML,注入任意Web脚本或HTML ,使得在Internet Explorer 中浏览文件的受害者执行该 HTML 。