聚焦源代码安全,网罗国内外最新资讯!
编译:代码卫士
Drupal开发人员发布安全更新,修复位于该开源内容管理系统(CMS)中的多个漏洞。Drupal发布四份安全公告,说明了四个漏洞。其中一个漏洞为“严重”等级的漏洞,其它三个是“中危”级别。Drupal的评级标准是NIST常见滥用评级系统而不是CVSS,这四个漏洞的评级为“不太严重”、“中等严重”、“严重”和“高度严重”。
“严重”等级的漏洞编号为CVE--,影响Drupal9.3和9.4,影响Drupal核心。攻击者可上传特殊构造的文件在Apacheweb服务器上执行任意PHP代码。
Drupal开发人员指出,只有具有特定配置的Apacheweb服务器受影响。他们建议网站管理员检查服务器中是否存在攻陷迹象。
三个“中危”漏洞也影响Drupal内核。如遭利用,可导致XSS攻击、信息泄露或访问绕过攻击。这些漏洞的补丁已包含在Drupal9.4.3和9.3.19中。其中的信息泄露漏洞也影响Drupal7且修复方案已包含在7.91版本中。
美国网络安全和基础设施安全局(CISA)建议Drupal用户审计这些安全公告并安装安全补丁。
虽然Drupal网站遭受的攻击不如WordPress网站严重,但多年来发现的Drupal漏洞被恶意人员用于垃圾邮件活动、入侵网站并传播恶意软件等。
代码卫士试用