Drupal Drag & Drop Gallery模块代码注入漏洞 CVE-2012-4472 CNNVD-201211-582
5.1
AV
AC
AU
C
I
A
发布:
2012-11-30
修订:
2013-01-30
Drupal是Drupal社区所维护的一套用PHP语言开发的免费、开源的内容管理系统。 Drupal平台上的Drag & Drop Gallery模块6.x-1.5以及更早版本的upload.php中存在不受限制的文件上传漏洞。通过上传在安全扩展名后面带有可执行扩展名的文件,并通过发送直接请求到由filedir参数所指定的目录以此访问该文件,远程攻击者可利用该漏洞执行任意PHP代码。
漏洞利用/PoC
暂无可用Exp或PoC
受影响的平台与产品
当前有2条受影响产品信息
