安全研究
安全漏洞
Drupal远程代码执行漏洞 (CVE-2019-6340)
发布日期:2019-02-20
更新日期:2019-02-22
受影响系统:Drupal Drupal 8.6.x < 8.6.10
Drupal Drupal 8.5.x < 8.5.11
描述:
CVE(CAN) ID:
CVE-2019-6340
Drupal是一款开源的内容管理平台。
Drupal 8.6.x < 8.6.10、8.5.x(或更早版本) < 8.5.11版本,在实现中存在远程代码执行漏洞。该漏洞源于某些字段在通过非表格(non-form resources)类型输入时未能正确过滤,导致潜在的任意PHP代码执行。
满足以下任意一个条件的用户受到该漏洞影响:
该站点启用了Drupal 8核心RESTful Web服务(rest)模块,并允许PATCH或POST请求
该站点启用了另一个Web服务模块,如Drupal 8中的JSON:API,或Drupal 7中的Services或RESTful Web Services
<*来源:Drupal
*>
建议:
厂商补丁:
Drupal
------
Drupal官方已经发布了最新版本,请受影响的用户尽快升级进行防护。
暂时不便升级的用户,可以采取以下措施进行临时防护:
用户可以禁用所有Web服务模块,或将Web服务器配置为不允许对Web服务资源进行PUT / PATCH / POST请求。
请注意,Web服务资源可能在多个路径上可用,具体取决于服务器的配置。 对于Drupal 7,资源通常可通过路径(clean URL)和通过“q”查询参数获得。 对于Drupal 8,当使用index.php /作为前缀时,路径可能仍然有效。
详细步骤及官方建议请参考Drupal官方通告:
https://www.drupal.org/sa-core-2019-003浏览次数:2991
严重程度:0(网友投票)
本安全漏洞由绿盟科技翻译整理,版权所有,未经许可,不得转载 绿盟科技给您安全的保障 |