VULHUB ™

Bugtraq ID: 51288 Drupal是一款开放源码的内容管理平台。 Drupal Fill PDF模块存在安全漏洞，允许恶意用户控制应用系统或绕过部分安全限制。 -在fillpdf.module中的"fillpdf_merge_pdf()"函数中由于缺失参数错误，可被利用通过构建特制WEB请求绕过验证机制。 -通过导入模版传递的输入在用于"eval()"调用之前在fillpdf.admin.inc中的"fillpdf_form_export_decode()"函数里缺少正确过滤，可被利用执行任意PHP代码。 要成功利用漏洞需要"administer PDFs"权限。 0 Drupal Fill PDF 7.x-1.1 Drupal Fill PDF 6.X-1.3 厂商解决方案 Drupal Fill PDF 7.x-1.2和6.x-1.16已经修复此漏洞，建议用户下载使用： http://www.drupal.org/

Bugtraq ID: 51288 Drupal是一款开放源码的内容管理平台。 Drupal Fill PDF模块存在安全漏洞，允许恶意用户控制应用系统或绕过部分安全限制。 -在fillpdf.module中的"fillpdf_merge_pdf()"函数中由于缺失参数错误，可被利用通过构建特制WEB请求绕过验证机制。 -通过导入模版传递的输入在用于"eval()"调用之前在fillpdf.admin.inc中的"fillpdf_form_export_decode()"函数里缺少正确过滤，可被利用执行任意PHP代码。 要成功利用漏洞需要"administer PDFs"权限。 0 Drupal Fill PDF 7.x-1.1 Drupal Fill PDF 6.X-1.3 厂商解决方案 Drupal Fill PDF 7.x-1.2和6.x-1.16已经修复此漏洞，建议用户下载使用： http://www.drupal.org/