发布日期：2009-02-04
更新日期：2009-02-16

受影响系统：

Drupal Views bulk operations 6.x
Drupal Views bulk operations 5.x

不受影响系统：

Drupal Views bulk operations 6.x-1.4
Drupal Views bulk operations 5.x-1.3

描述：

---

BUGTRAQ  ID: 33622
CVE(CAN) ID: CVE-2009-0575

Views Bulk Operations是Drupal中所使用的用于在节点更改视图的第三方模块。

Views Bulk Operations模块的theme_views_bulk_operations_confirmation()函数没有正确地处理节点标题。如果用户受骗查看了恶意的节点标题的话，就会导致在用户浏览器会话中注入并执行任意HTML和脚本代码。

<*来源：Derek Wright
  
  链接：http://secunia.com/advisories/33836
        http://drupal.org/node/369223
*>

建议：

---

厂商补丁：

Drupal
------
目前厂商已经发布了升级补丁以修复这个安全问题，请到厂商的主页下载：

http://drupal.org/node/369244
http://drupal.org/node/369243

浏览次数：2630
严重程度：0（网友投票）