发布日期：2014-10-16
更新日期：2014-10-17

受影响系统：

Drupal Drupal 7.x

描述：

---

CVE(CAN) ID: CVE-2014-3704

Drupal是使用PHP语言编写的开源内容管理框架（CMF），它由内容管理系统（CMS）和PHP开发框架（Framework）共同构成。

Drupal 7.32之前版本对数据库摘要API接收到的某些输入没有在"Database::expandArguments()" 方法(includes/database/database.inc) 内有效过滤，这可导致注入任意SQL代码，操纵SQL查询。

<*来源：Stefan Horst
  *>

建议：

---

厂商补丁：

Drupal
------
目前厂商已经发布了升级补丁以修复这个安全问题，请到厂商的主页下载：

http://drupal.org/node/

SA-CORE-2014-005:
https://www.drupal.org/SA-CORE-2014-005

Stefan Horst:
https://www.sektioneins.de/advisories/advisory-012014-drupal-pre-auth-sql-injection-vulnerability.html

浏览次数：2164
严重程度：0（网友投票）