近期,Drupal警告多个严重的安全漏洞。这些漏洞可能导致远程代码执行、跨站点脚本和其它关键安全问题。这四个严重漏洞等级从中等严重到严重,将影响 Drupal 版本 9.3 和 9.4。
这份安全公告警告称,各种漏洞可能允许黑客执行任意代码,从而使网站和服务器面临风险。
值得注意的是这些漏洞不影响 Drupal 版本 7。
此外,9.3.x 之前的任何 Drupal 版本都已达到生命周期结束状态,这意味着它们不再接收安全更新,因此使用起来存在风险。
严重漏洞:任意 PHP 代码执行
任意 PHP 代码执行漏洞是攻击者能够在服务器上执行任意命令的漏洞。
该漏洞是由于两个安全功能无意中出现的,这些功能本应阻止危险文件的上传,但由于它们不能很好地协同工作而失败,导致当前的严重漏洞可能导致远程代码执行。
“……以前对这两个漏洞的保护不能正常工作。
因此,如果站点被配置为允许上传带有 htaccess 扩展名的文件,这些文件的文件名将不会被正确清理。
这可能允许绕过 Drupal 核心的默认 .htaccess 文件提供的保护以及可能在 Apache Web 服务器上执行远程代码。”
www.drupal.org
远程代码执行是指攻击者能够运行恶意文件并接管网站或整个服务器。在这种特殊情况下,攻击者能够在运行 Apache Web 服务器软件时攻击 Web 服务器本身。
访问绕过漏洞
此漏洞被评为中等严重,允许攻击者更改他们不应访问的数据。
根据安全公告:
“在某些情况下,Drupal 核心表单 API 会错误地评估表单元素访问。
… Drupal 核心提供的任何表单都没有已知的易受攻击性。但是,通过贡献或自定义模块或主题添加的表单可能会受到影响。”
多个漏洞
Drupal 共发布了四个安全公告:
该公告警告了影响 Drupal 的多个漏洞,这些漏洞可能使站点面临不同类型的攻击和结果。
推荐更新 Drupal
Drupal 的安全公告建议立即更新 9.3 和 9.4 版本。
Drupal 9.3 版的用户应该升级到 9.3.19 版。
Drupal 9.4 版的用户应该升级到 9.4.3 版。
扩展阅读:什么是Drupal?
凭借强大的内容管理工具、用于多渠道发布的复杂 API 以及不断创新的记录——Drupal 是网络上最好的数字体验平台 (DXP)之一,并以开源为荣。
