CVE-2007-6752

Опубликовано: 28 мар. 2012

Источник: nvd

CVSS2: 6.8

EPSS Низкий

Описание

Cross-site request forgery (CSRF) vulnerability in Drupal 7.12 and earlier allows remote attackers to hijack the authentication of arbitrary users for requests that end a session via the user/logout URI. NOTE: the vendor disputes the significance of this issue, by considering the "security benefit against platform complexity and performance impact" and concluding that a change to the logout behavior is not planned because "for most sites it is not worth the trade-off.

Ссылки

http://drupal.org/node/144538
Vendor Advisory
http://groups.drupal.org/node/216314
Vendor Advisory
http://ivanobinetti.blogspot.it/2012/03/drupal-cms-712-latest-stable-release.html
http://packetstormsecurity.org/files/110404/drupal712-xsrf.txt
Exploit
http://www.exploit-db.com/exploits/18564/
Exploit
http://drupal.org/node/144538
Vendor Advisory
http://groups.drupal.org/node/216314
Vendor Advisory
http://ivanobinetti.blogspot.it/2012/03/drupal-cms-712-latest-stable-release.html
http://packetstormsecurity.org/files/110404/drupal712-xsrf.txt
Exploit
http://www.exploit-db.com/exploits/18564/
Exploit

Уязвимые конфигурации

Конфигурация 1

Одно из

cpe:2.3:a:drupal:drupal:*:*:*:*:*:*:*:*

Версия до 7.12 (включая)

cpe:2.3:a:drupal:drupal:4.0:*:*:*:*:*:*:*

cpe:2.3:a:drupal:drupal:4.0.0:*:*:*:*:*:*:*

cpe:2.3:a:drupal:drupal:4.1.0:*:*:*:*:*:*:*

cpe:2.3:a:drupal:drupal:4.2.0_rc:*:*:*:*:*:*:*

cpe:2.3:a:drupal:drupal:4.4:*:*:*:*:*:*:*

cpe:2.3:a:drupal:drupal:4.4.0:*:*:*:*:*:*:*

cpe:2.3:a:drupal:drupal:4.4.1:*:*:*:*:*:*:*

cpe:2.3:a:drupal:drupal:4.4.2:*:*:*:*:*:*:*

cpe:2.3:a:drupal:drupal:4.4.3:*:*:*:*:*:*:*

cpe:2.3:a:drupal:drupal:4.5:*:*:*:*:*:*:*

cpe:2.3:a:drupal:drupal:4.5.0:*:*:*:*:*:*:*

cpe:2.3:a:drupal:drupal:4.5.1:*:*:*:*:*:*:*

cpe:2.3:a:drupal:drupal:4.5.2:*:*:*:*:*:*:*

cpe:2.3:a:drupal:drupal:4.5.3:*:*:*:*:*:*:*

cpe:2.3:a:drupal:drupal:4.5.4:*:*:*:*:*:*:*

cpe:2.3:a:drupal:drupal:4.5.5:*:*:*:*:*:*:*

cpe:2.3:a:drupal:drupal:4.5.6:*:*:*:*:*:*:*

cpe:2.3:a:drupal:drupal:4.5.7:*:*:*:*:*:*:*

cpe:2.3:a:drupal:drupal:4.5.8:*:*:*:*:*:*:*

cpe:2.3:a:drupal:drupal:4.6:*:*:*:*:*:*:*

cpe:2.3:a:drupal:drupal:4.6.0:*:*:*:*:*:*:*

cpe:2.3:a:drupal:drupal:4.6.1:*:*:*:*:*:*:*

cpe:2.3:a:drupal:drupal:4.6.2:*:*:*:*:*:*:*

cpe:2.3:a:drupal:drupal:4.6.3:*:*:*:*:*:*:*

cpe:2.3:a:drupal:drupal:4.6.4:*:*:*:*:*:*:*

cpe:2.3:a:drupal:drupal:4.6.5:*:*:*:*:*:*:*

cpe:2.3:a:drupal:drupal:4.6.6:*:*:*:*:*:*:*

cpe:2.3:a:drupal:drupal:4.6.7:*:*:*:*:*:*:*

cpe:2.3:a:drupal:drupal:4.6.8:*:*:*:*:*:*:*

cpe:2.3:a:drupal:drupal:4.6.9:*:*:*:*:*:*:*

cpe:2.3:a:drupal:drupal:4.6.10:*:*:*:*:*:*:*

cpe:2.3:a:drupal:drupal:4.6.11:*:*:*:*:*:*:*

cpe:2.3:a:drupal:drupal:4.7:*:*:*:*:*:*:*

cpe:2.3:a:drupal:drupal:4.7.0:*:*:*:*:*:*:*

cpe:2.3:a:drupal:drupal:4.7.1:*:*:*:*:*:*:*

cpe:2.3:a:drupal:drupal:4.7.2:*:*:*:*:*:*:*

cpe:2.3:a:drupal:drupal:4.7.3:*:*:*:*:*:*:*

cpe:2.3:a:drupal:drupal:4.7.4:*:*:*:*:*:*:*

cpe:2.3:a:drupal:drupal:4.7.5:*:*:*:*:*:*:*

cpe:2.3:a:drupal:drupal:4.7.6:*:*:*:*:*:*:*

cpe:2.3:a:drupal:drupal:4.7.7:*:*:*:*:*:*:*

cpe:2.3:a:drupal:drupal:4.7.8:*:*:*:*:*:*:*

cpe:2.3:a:drupal:drupal:4.7.9:*:*:*:*:*:*:*

cpe:2.3:a:drupal:drupal:4.7.10:*:*:*:*:*:*:*

cpe:2.3:a:drupal:drupal:4.7_rev_1.2:*:*:*:*:*:*:*

cpe:2.3:a:drupal:drupal:4.7_rev_1.15:*:*:*:*:*:*:*

cpe:2.3:a:drupal:drupal:4.7_rev1.15:*:*:*:*:*:*:*

cpe:2.3:a:drupal:drupal:4.7_revision_1.2:*:*:*:*:*:*:*

cpe:2.3:a:drupal:drupal:5.0:*:*:*:*:*:*:*

cpe:2.3:a:drupal:drupal:5.0:beta1:*:*:*:*:*:*

cpe:2.3:a:drupal:drupal:5.0:beta2:*:*:*:*:*:*

cpe:2.3:a:drupal:drupal:5.0:dev:*:*:*:*:*:*

cpe:2.3:a:drupal:drupal:5.0:rc1:*:*:*:*:*:*

cpe:2.3:a:drupal:drupal:5.0:rc2:*:*:*:*:*:*

cpe:2.3:a:drupal:drupal:5.1:*:*:*:*:*:*:*

cpe:2.3:a:drupal:drupal:5.1_rev1.1:*:*:*:*:*:*:*

cpe:2.3:a:drupal:drupal:5.2:*:*:*:*:*:*:*

cpe:2.3:a:drupal:drupal:5.3:*:*:*:*:*:*:*

cpe:2.3:a:drupal:drupal:5.4:*:*:*:*:*:*:*

cpe:2.3:a:drupal:drupal:5.5:*:*:*:*:*:*:*

cpe:2.3:a:drupal:drupal:5.5.:*:*:*:*:*:*:*

cpe:2.3:a:drupal:drupal:5.6:*:*:*:*:*:*:*

cpe:2.3:a:drupal:drupal:5.7:*:*:*:*:*:*:*

cpe:2.3:a:drupal:drupal:5.8:*:*:*:*:*:*:*

cpe:2.3:a:drupal:drupal:5.9:*:*:*:*:*:*:*

cpe:2.3:a:drupal:drupal:5.10:*:*:*:*:*:*:*

cpe:2.3:a:drupal:drupal:5.11:*:*:*:*:*:*:*

cpe:2.3:a:drupal:drupal:5.12:*:*:*:*:*:*:*

cpe:2.3:a:drupal:drupal:5.13:*:*:*:*:*:*:*

cpe:2.3:a:drupal:drupal:5.14:*:*:*:*:*:*:*

cpe:2.3:a:drupal:drupal:5.15:*:*:*:*:*:*:*

cpe:2.3:a:drupal:drupal:5.16:*:*:*:*:*:*:*

cpe:2.3:a:drupal:drupal:5.17:*:*:*:*:*:*:*

cpe:2.3:a:drupal:drupal:5.18:*:*:*:*:*:*:*

cpe:2.3:a:drupal:drupal:5.19:*:*:*:*:*:*:*

cpe:2.3:a:drupal:drupal:5.20:*:*:*:*:*:*:*

cpe:2.3:a:drupal:drupal:5.21:*:*:*:*:*:*:*

cpe:2.3:a:drupal:drupal:5.22:*:*:*:*:*:*:*

cpe:2.3:a:drupal:drupal:5.23:*:*:*:*:*:*:*

cpe:2.3:a:drupal:drupal:5.x:dev:*:*:*:*:*:*

cpe:2.3:a:drupal:drupal:6.0:*:*:*:*:*:*:*

cpe:2.3:a:drupal:drupal:6.0:beta1:*:*:*:*:*:*

cpe:2.3:a:drupal:drupal:6.0:beta2:*:*:*:*:*:*

cpe:2.3:a:drupal:drupal:6.0:beta3:*:*:*:*:*:*

cpe:2.3:a:drupal:drupal:6.0:beta4:*:*:*:*:*:*

cpe:2.3:a:drupal:drupal:6.0:dev:*:*:*:*:*:*

cpe:2.3:a:drupal:drupal:6.0:rc-1:*:*:*:*:*:*

cpe:2.3:a:drupal:drupal:6.0:rc-2:*:*:*:*:*:*

cpe:2.3:a:drupal:drupal:6.0:rc-3:*:*:*:*:*:*

cpe:2.3:a:drupal:drupal:6.0:rc-4:*:*:*:*:*:*

cpe:2.3:a:drupal:drupal:6.0:rc1:*:*:*:*:*:*

cpe:2.3:a:drupal:drupal:6.0:rc2:*:*:*:*:*:*

cpe:2.3:a:drupal:drupal:6.0:rc3:*:*:*:*:*:*

cpe:2.3:a:drupal:drupal:6.0:rc4:*:*:*:*:*:*

cpe:2.3:a:drupal:drupal:6.1:*:*:*:*:*:*:*

cpe:2.3:a:drupal:drupal:6.2:*:*:*:*:*:*:*

cpe:2.3:a:drupal:drupal:6.3:*:*:*:*:*:*:*

cpe:2.3:a:drupal:drupal:6.4:*:*:*:*:*:*:*

cpe:2.3:a:drupal:drupal:6.5:*:*:*:*:*:*:*

cpe:2.3:a:drupal:drupal:6.6:*:*:*:*:*:*:*

cpe:2.3:a:drupal:drupal:6.7:*:*:*:*:*:*:*

cpe:2.3:a:drupal:drupal:6.8:*:*:*:*:*:*:*

cpe:2.3:a:drupal:drupal:6.9:*:*:*:*:*:*:*

cpe:2.3:a:drupal:drupal:6.10:*:*:*:*:*:*:*

cpe:2.3:a:drupal:drupal:6.11:*:*:*:*:*:*:*

cpe:2.3:a:drupal:drupal:6.12:*:*:*:*:*:*:*

cpe:2.3:a:drupal:drupal:6.13:*:*:*:*:*:*:*

cpe:2.3:a:drupal:drupal:6.14:*:*:*:*:*:*:*

cpe:2.3:a:drupal:drupal:6.15:*:*:*:*:*:*:*

cpe:2.3:a:drupal:drupal:6.16:*:*:*:*:*:*:*

cpe:2.3:a:drupal:drupal:6.17:*:*:*:*:*:*:*

cpe:2.3:a:drupal:drupal:6.18:*:*:*:*:*:*:*

cpe:2.3:a:drupal:drupal:6.19:*:*:*:*:*:*:*

cpe:2.3:a:drupal:drupal:6.20:*:*:*:*:*:*:*

cpe:2.3:a:drupal:drupal:6.21:*:*:*:*:*:*:*

cpe:2.3:a:drupal:drupal:6.22:*:*:*:*:*:*:*

cpe:2.3:a:drupal:drupal:6.23:*:*:*:*:*:*:*

cpe:2.3:a:drupal:drupal:6.24:*:*:*:*:*:*:*

cpe:2.3:a:drupal:drupal:6.x-dev:*:*:*:*:*:*:*

cpe:2.3:a:drupal:drupal:7.0:*:*:*:*:*:*:*

cpe:2.3:a:drupal:drupal:7.0:alpha1:*:*:*:*:*:*

cpe:2.3:a:drupal:drupal:7.0:alpha2:*:*:*:*:*:*

cpe:2.3:a:drupal:drupal:7.0:alpha3:*:*:*:*:*:*

cpe:2.3:a:drupal:drupal:7.0:alpha4:*:*:*:*:*:*

cpe:2.3:a:drupal:drupal:7.0:alpha5:*:*:*:*:*:*

cpe:2.3:a:drupal:drupal:7.0:alpha6:*:*:*:*:*:*

cpe:2.3:a:drupal:drupal:7.0:alpha7:*:*:*:*:*:*

cpe:2.3:a:drupal:drupal:7.0:beta1:*:*:*:*:*:*

cpe:2.3:a:drupal:drupal:7.0:beta2:*:*:*:*:*:*

cpe:2.3:a:drupal:drupal:7.0:beta3:*:*:*:*:*:*

cpe:2.3:a:drupal:drupal:7.0:dev:*:*:*:*:*:*

cpe:2.3:a:drupal:drupal:7.0:rc1:*:*:*:*:*:*

cpe:2.3:a:drupal:drupal:7.0:rc2:*:*:*:*:*:*

cpe:2.3:a:drupal:drupal:7.0:rc3:*:*:*:*:*:*

cpe:2.3:a:drupal:drupal:7.0:rc4:*:*:*:*:*:*

cpe:2.3:a:drupal:drupal:7.1:*:*:*:*:*:*:*

cpe:2.3:a:drupal:drupal:7.2:*:*:*:*:*:*:*

cpe:2.3:a:drupal:drupal:7.3:*:*:*:*:*:*:*

cpe:2.3:a:drupal:drupal:7.4:*:*:*:*:*:*:*

cpe:2.3:a:drupal:drupal:7.5:*:*:*:*:*:*:*

cpe:2.3:a:drupal:drupal:7.6:*:*:*:*:*:*:*

cpe:2.3:a:drupal:drupal:7.7:*:*:*:*:*:*:*

cpe:2.3:a:drupal:drupal:7.8:*:*:*:*:*:*:*

cpe:2.3:a:drupal:drupal:7.9:*:*:*:*:*:*:*

cpe:2.3:a:drupal:drupal:7.10:*:*:*:*:*:*:*

cpe:2.3:a:drupal:drupal:7.11:*:*:*:*:*:*:*

cpe:2.3:a:drupal:drupal:7.x-dev:*:*:*:*:*:*:*

EPSS

Процентиль: 80%

0.0151

Низкий

6.8 Medium

CVSS2

Дефекты

CWE-352

Связанные уязвимости

CVE-2007-6752

ubuntu

около 13 лет назад

** DISPUTED ** Cross-site request forgery (CSRF) vulnerability in Drupal 7.12 and earlier allows remote attackers to hijack the authentication of arbitrary users for requests that end a session via the user/logout URI. NOTE: the vendor disputes the significance of this issue, by considering the "security benefit against platform complexity and performance impact" and concluding that a change to the logout behavior is not planned because "for most sites it is not worth the trade-off."

CVE-2007-6752

debian

около 13 лет назад

Cross-site request forgery (CSRF) vulnerability in Drupal 7.12 and ear ...

GHSA-jchx-5q5h-f574

github

около 3 лет назад

EPSS

Процентиль: 80%

0.0151

Низкий

6.8 Medium

CVSS2

Дефекты

CWE-352