发布日期：2006-07-05
更新日期：2006-07-06

受影响系统：

Drupal form_mail <= 1.8.2.1

不受影响系统：

Drupal form_mail 4.6.0

描述：

---

BUGTRAQ  ID: 18833

Drupal是很著名的开源CMS，仿照了blog程序模式，但比普通的blog更灵活，可以做各种网站的内容管理平台。

Drupal处理邮件消息时存在漏洞，远程攻击者可能利用此漏洞绕过某些安全检查。

Drupal的Form_mail模块在创建邮件消息时没有正确过滤某些参数，允许攻击者在参数中注入回车换行符来插入某些选项到邮件头，导致站点向外发送非预期的邮件。

<*来源：Adam Gundry
  
  链接：http://drupal.org/node/72177
        http://secunia.com/advisories/20920/print/
*>

建议：

---

厂商补丁：

Drupal
------
目前厂商已经发布了升级补丁以修复这个安全问题，请到厂商的主页下载：

http://ftp.osuosl.org/pub/drupal/files/projects/form_mail-4.6.0.tar.gz

浏览次数：2876
严重程度：0（网友投票）