VULHUB ™

2008年1月30之前的Drupal 5.x-2.x 系列, 5.x-1.2 及5.x-1.x 系列早期版本, 4.7.x-2.6 及 4.7.x-2.x 系列的早期版本, 还有 4.7.x-1.6 及 4.7.x-1.x series系列的早期版本的Project Issue Tracking module 5.x-2.x-dev(1)在上传模块被激活时并不限制附件的扩展名，这会使远程攻击者可以上传和可能执行任意文件；(2)在文件设计范围内的.html文件上传，这会使远程攻击者可以上传包含任意web脚本或HTML的文件。

2008年1月30之前的Drupal 5.x-2.x 系列, 5.x-1.2 及5.x-1.x 系列早期版本, 4.7.x-2.6 及 4.7.x-2.x 系列的早期版本, 还有 4.7.x-1.6 及 4.7.x-1.x series系列的早期版本的Project Issue Tracking module 5.x-2.x-dev(1)在上传模块被激活时并不限制附件的扩展名，这会使远程攻击者可以上传和可能执行任意文件；(2)在文件设计范围内的.html文件上传，这会使远程攻击者可以上传包含任意web脚本或HTML的文件。