发布日期：2019-06-20
更新日期：2019-06-20

受影响系统：

Drupal wishlist 7.x-2.6
Drupal wishlist 6.X-2.7

不受影响系统：

Drupal wishlist 7.x-2.7
Drupal wishlist 6.X-2.7

描述：

---

BUGTRAQ  ID: 72114
CVE(CAN) ID: CVE-2015-3355CVE-2015-3354

Drupal 是由Dries Buytaert创立的自由开源内容管理系统，用PHP语言写成。在业界，Drupal常被视为内容管理框架，而非一般意义上的内容管理系统。 整套平台把所有内容视为一个“节点”，背后由大量“模块” 控制其显示、修改、排列、分类等方式。

CVE-2015-3355：在7.x-1.2 for Drupal之前的批处理作业模块中存在多个跨站点请求伪造（CSRF）漏洞，允许远程攻击者劫持某些用户的身份验证，以获取（1）删除批处理作业记录或（2）执行任务通过未指定的向量。
CVE-2015-3354：Wyslist模块中的6.x-2.7和7.x-2.x之前的跨站点请求伪造（CSRF）漏洞在7.x-2.7之前用于Drupal允许远程攻击者劫持任意用户的身份验证以删除所有删除心愿单的请求通过未指定的向量购买意图。

攻击者可能利用这些问题在受影响站点的上下文中的不知情用户的浏览器中执行任意脚本代码，窃取基于cookie的身份验证凭据或执行未经授权的操作。其他攻击也可能。

<*来源：Pere Orga
  
  链接：https://www.drupal.org/node/2407313
*>

建议：

---

厂商补丁：

Drupal
------
Drupal已经为此发布了一个安全公告（DRUPAL-SA-CONTRIB-2015-014）以及相应补丁:
DRUPAL-SA-CONTRIB-2015-014：Wishlist - Multiple vulnerabilities
链接：https://www.drupal.org/node/2407313

补丁下载：

浏览次数：11723
严重程度：0（网友投票）