Linux/Unix 主机中安装的一个或多个程序包受到一个漏洞影响，而供应商没有提供补丁程序。

  - 在低于 7.41的 Drupal 7.x 中Overlay 模块中的开放重定向漏洞用于 Drupal 7.x-2.7 之前的 jQuery Update 模块 7.x-2.x 以及 7 之前的 LABjs 模块 7.x-1.x 中。 x-1.8 允许远程攻击者通过不明矢量将用户重定向到任意网站并进行钓鱼攻击。注意：存在此漏洞的原因是未完整修复 CVE-2015-3233。(CVE-2015-7943)

请注意，Nessus 依赖供应商报告的程序包是否存在进行判断。

在 Drupal（功能齐全的内容管理框架）中发现了两个漏洞。Common Vulnerabilities and Exposures 计划发现以下问题：- CVE-2015-7943 Samuel Mortenson 和 Pere Orga 发现 overlay 模块在显示 URL 内容之前未对其进行充分验证，从而导致公开重定向漏洞。有关更多信息，请访问：https://www.drupal.org/SA-CORE-2015-004 - CVE-2017-6922 Greg Knaddison、Mori Sugimoto 和 iancawthorne 发现匿名用户上传到私密文件系统中的文件可以被其他匿名用户访问，从而导致访问绕过漏洞。有关更多信息，请访问：https://www.drupal.org/SA-CORE-2017-003

drupal7-7.41-1.fc21 - 7.41。drupal7-7.41-1.fc22 - 7.41。
drupal7-7.41-1.el5 - 7.41。drupal7-7.41-1.el6 - 7.41。
drupal7-7.41-1.el7

- 7.41。drupal7-7.41-1.fc23 - 7.41。---- drupal7-7.40-1.fc21 - 7.40。drupal7-7.40-1.fc22 - 7.40。
 drupal7-7.40-1.el5 - 7.40。drupal7-7.40-1.el6

- 7.40。drupal7-7.40-1.el7 - 7.40。drupal7-7.40-1.fc23 - 7.40。

请注意，Tenable Network Security 已直接从 Fedora 安全公告中提取上述描述块。Tenable 已尝试在不引入其他问题的情况下尽可能进行了自动整理和排版。

Drupal 开发团队报告：

Drupal 核心中的 Overlay 模块将管理页面显示为当前页面上的层（使用 JavaScript），而不是替换浏览器窗口中的页面。叠加模块在显示 URL 内容之前未对其进行充分验证，导致开放重定向漏洞。

该漏洞已得到缓解，原因是它只能用来攻击拥有“访问管理叠加”权限的站点用户，并且必须启用叠加模块。

用于此问题的不完整补丁已作为 SA-CORE-2015-002 的一部分发布。

远程 Web 服务器运行的 Drupal 版本是低于 7.41 的 7.x。因此，它受到 Overlay 模块中的开放重定向漏洞的影响，原因是显示 URL 的内容前未正确验证 URL。未经认证的远程攻击者可利用此漏洞，通过特别构建的 URL 将受害者从预期合法网站重定向到任意网站。

只能对同时拥有“访问管理叠加”权限和启用了 Overlay 模块的 Drupal 用户利用此漏洞。

请注意，Nessus 没有测试此问题，而仅依赖于应用程序自我报告的版本号。

drupal7-7.41-1.fc21 - 7.41。drupal7-7.41-1.fc22 - 7.41。
drupal7-7.41-1.el5 - 7.41。drupal7-7.41-1.el6 - 7.41。
drupal7-7.41-1.el7

- 7.41。drupal7-7.41-1.fc23 - 7.41。

请注意，Tenable Network Security 已直接从 Fedora 安全公告中提取上述描述块。Tenable 已尝试在不引入其他问题的情况下尽可能进行了自动整理和排版。

已发现 drupal7（一种内容管理架构）中存在一个开放重定向漏洞。

Drupal 核心中的 Overlay 模块将管理页面显示为当前页面上的层（使用 JavaScript），而不是替换浏览器窗口中的页面。该模块在显示 URL 内容之前未对其进行充分验证，导致开放重定向漏洞。

针对 Debian 7“Wheezy”，此问题已于 drupal7 的 7.14-2+deb7u13 版本中修复。

我们建议您升级 drupal7 程序包。

注意：Tenable Network Security 已直接从 DLA 安全公告中提取上述描述块。Tenable 已尝试在不引入其他问题的情况下尽可能进行了自动整理和排版。

ID	名称	产品	系列	发布时间	最近更新时间	严重程度
246165	Linux Distros 未修补的漏洞：CVE-2015-7943	Nessus	Misc.	2025/8/8	2025/8/8	medium
101034	Debian DSA-3897-1：drupal7 - 安全更新	Nessus	Debian Local Security Checks	2017/6/26	2021/1/4	medium
89409	Fedora 22：drupal7-7.41-1.fc22 (2015-cb94fd13d8)	Nessus	Fedora Local Security Checks	2016/3/4	2021/1/11	medium
86587	FreeBSD：drupal -- 开放重定向漏洞 (75f39413-7a00-11e5-a2a1-002590263bf5)	Nessus	FreeBSD Local Security Checks	2015/10/26	2021/1/6	medium
86673	Drupal 7.x < 7.41 Overlay 模块开放重定向	Nessus	CGI abuses	2015/10/30	2022/4/11	medium
89411	Fedora 23：drupal7-7.41-1.fc23 (2015-ccf2b449a9)	Nessus	Fedora Local Security Checks	2016/3/4	2021/1/11	medium
92003	Debian DLA-548-1：drupal7 安全更新	Nessus	Debian Local Security Checks	2016/7/12	2021/1/11	medium

检测

插件搜索

medium

medium

medium

medium

medium

medium

medium