Drupal 多個漏洞

在 Drupal 發現多個漏洞，惡意使用者可利用漏洞進行指令碼插入攻擊，推行暴力攻擊，偽冒，及跨網端指令碼攻擊。

1. 應用程式產生保安有關的字串，使用了加密薄弱的 mt_rand() 函式為源熵，可被利用估計出產生字串的數值。
   這弱點被在發現版本6.x至6.29及版本7.x至7.24。
2. 某些不明有關影像模組的輸入，沒有在使用前正確過濾。這漏洞可被利用插入任意 HTML 及指令碼，可在使用者瀏覽受影響網站的瀏覽器被執行，若惡意數據被檢視。
   成功利用此漏洞，需要"administer taxonomy"權限。
3. 某些不明有關顏色模組的輸入，沒有在回傳給使用者前正確過濾。這可被利用在使用者的瀏覽器當瀏覽受影響的網站時執行任意 HTML 及指令碼。
   成功利用漏洞需要受害者使用舊版本的瀏覽器，如 Internet Explorer 及 Opera。
4. 某些有關覆蓋模組的輸入，沒有在回傳給使用者前正確驗證。這可被利用轉載使用者到任意網站，例如使用者在信任網域下按一個特製的連結，被轉載到一個受影響的指令碼。
   成功利用此弱點需要受害者有"Access the administrative overlay"權限。

弱點 #4 及漏洞 #2 和 #3 被發現在版本 7.x 至 7.24