Drupal会话固定漏洞
受影响系统:
Drupal Drupal 6.x
Drupal Drupal 5.x
不受影响系统:
Drupal Drupal 6.3
Drupal Drupal 5.9
描述:BUGTRAQ ID: 30359
Drupal是一款开放源码的内容管理平台。
当Workflow NG等模块在登录事件期间终止当前请求时,用户模块无法重新生成用户的会话。如果攻击者能够控制其他用户的初始会话ID的话,这可能导致会话固定攻击。由于没有重新生成会话,攻击者可以在受害用户认证后使用固定的会话ID获得同样的访问权限。 Read more »
Category: Notice loopholes
Subscribe Feed
Contact Us