Cve-2019-6340 Drupal远程代码执行漏洞
Drupal近日发布安全更新,解决了Drupal CMS系统中的一个highly critical的漏洞,该漏洞CVE编号为CVE-2019-6340,攻击者利用该漏洞可以进行远程代码执行。
CVE-2019-6340漏洞是由于对部分域类型的数据处理不当造成的,攻击者利用该漏洞可以执行任意的PHP代码。
Drupal的安全公告称,一些域类型没能适当处理来自非form源的数据,导致在一些情况下产生了任意的PHP代码执行漏洞。
为了利用该漏洞,攻击者需要启用核心的RESTful Web Services模块,并允许PATCH 或POST请求。如果启用了Drupal 8中的JSON:API或Drupal 7中的RESTful Web服务这类web服务模块,也可能触发该漏洞。
Drupal发布了Drupal 8.6.10和8.5.11来应对该漏洞。如果用户使用的是Drupal 7,就不需要更新。但专家指出Drupal 7的部分模块也需要更新。
Drupal在安全公告中建议用户禁用所有的web服务模块或将web服务器配置为不允许接收PUT/PATCH/POST请求到web服务资源。根据服务器的配置情况,web服务资源可能存在于多个路径中。对Drupal 7,资源主要是通过路径或参数到q查询参数。对Drupal 8,在前缀为index.php/的页面上,路径仍然是工作的。
最后建议用户尽快安装更新。
Drupal安全公共见https://www.drupal.org/sa-core-2019-003。
Drupal近日发布安全更新,解决了Drupal CMS系统中的一个highly critical的漏洞,该漏洞CVE编号为CVE-2019-6340,攻击者利用该漏洞可以进行远程代码执行。
CVE-2019-6340漏洞是由于对部分域类型的数据处理不当造成的,攻击者利用该漏洞可以执行任意的PHP代码。
Drupal的安全公告称,一些域类型没能适当处理来自非form源的数据,导致在一些情况下产生了任意的PHP代码执行漏洞。
为了利用该漏洞,攻击者需要启用核心的RESTful Web Services模块,并允许PATCH 或POST请求。如果启用了Drupal 8中的JSON:API或Drupal 7中的RESTful Web服务这类web服务模块,也可能触发该漏洞。
Drupal发布了Drupal 8.6.10和8.5.11来应对该漏洞。如果用户使用的是Drupal 7,就不需要更新。但专家指出Drupal 7的部分模块也需要更新。
Drupal在安全公告中建议用户禁用所有的web服务模块或将web服务器配置为不允许接收PUT/PATCH/POST请求到web服务资源。根据服务器的配置情况,web服务资源可能存在于多个路径中。对Drupal 7,资源主要是通过路径或参数到q查询参数。对Drupal 8,在前缀为index.php/的页面上,路径仍然是工作的。 内容来自无奈安全网
最后建议用户尽快安装更新。
Drupal安全公共见https://www.drupal.org/sa-core-2019-003。
无奈人生安全网