发布日期：2019-02-20
更新日期：2019-02-22

受影响系统：

Drupal Drupal 8.6.x < 8.6.10
Drupal Drupal 8.5.x < 8.5.11

描述：

---

CVE(CAN) ID: CVE-2019-6340

Drupal是一款开源的内容管理平台。

Drupal 8.6.x < 8.6.10、8.5.x(或更早版本) < 8.5.11版本，在实现中存在远程代码执行漏洞。该漏洞源于某些字段在通过非表格（non-form resources）类型输入时未能正确过滤，导致潜在的任意PHP代码执行。

满足以下任意一个条件的用户受到该漏洞影响：

该站点启用了Drupal 8核心RESTful Web服务（rest）模块，并允许PATCH或POST请求
该站点启用了另一个Web服务模块，如Drupal 8中的JSON：API，或Drupal 7中的Services或RESTful Web Services

<*来源：Drupal
  *>

建议：

---

厂商补丁：

Drupal
------
Drupal官方已经发布了最新版本，请受影响的用户尽快升级进行防护。

暂时不便升级的用户，可以采取以下措施进行临时防护：

用户可以禁用所有Web服务模块，或将Web服务器配置为不允许对Web服务资源进行PUT / PATCH / POST请求。

请注意，Web服务资源可能在多个路径上可用，具体取决于服务器的配置。 对于Drupal 7，资源通常可通过路径（clean URL）和通过“q”查询参数获得。 对于Drupal 8，当使用index.php /作为前缀时，路径可能仍然有效。

详细步骤及官方建议请参考Drupal官方通告：

https://www.drupal.org/sa-core-2019-003

浏览次数：3000
严重程度：0（网友投票）