安全研究

安全漏洞
Drupal远程代码执行漏洞 (CVE-2019-6340)

发布日期:2019-02-20
更新日期:2019-02-22

受影响系统:
Drupal Drupal 8.6.x < 8.6.10
Drupal Drupal 8.5.x < 8.5.11
描述:
CVE(CAN) ID: CVE-2019-6340

Drupal是一款开源的内容管理平台。

Drupal 8.6.x < 8.6.10、8.5.x(或更早版本) < 8.5.11版本,在实现中存在远程代码执行漏洞。该漏洞源于某些字段在通过非表格(non-form resources)类型输入时未能正确过滤,导致潜在的任意PHP代码执行。

满足以下任意一个条件的用户受到该漏洞影响:

该站点启用了Drupal 8核心RESTful Web服务(rest)模块,并允许PATCH或POST请求
该站点启用了另一个Web服务模块,如Drupal 8中的JSON:API,或Drupal 7中的Services或RESTful Web Services

<*来源:Drupal
  *>

建议:
厂商补丁:

Drupal
------
Drupal官方已经发布了最新版本,请受影响的用户尽快升级进行防护。

暂时不便升级的用户,可以采取以下措施进行临时防护:

用户可以禁用所有Web服务模块,或将Web服务器配置为不允许对Web服务资源进行PUT / PATCH / POST请求。

请注意,Web服务资源可能在多个路径上可用,具体取决于服务器的配置。 对于Drupal 7,资源通常可通过路径(clean URL)和通过“q”查询参数获得。 对于Drupal 8,当使用index.php /作为前缀时,路径可能仍然有效。

详细步骤及官方建议请参考Drupal官方通告:

https://www.drupal.org/sa-core-2019-003

浏览次数:3015
严重程度:0(网友投票)
本安全漏洞由绿盟科技翻译整理,版权所有,未经许可,不得转载
绿盟科技给您安全的保障