压在透明的玻璃上c-国产精品国产一级A片精品免费-国产精品视频网-成人黄网站18秘 免费看|www.tcsft.com

Drupal開發(fā)團隊發(fā)布了Drupal 8.2.7版本，解決了流行CMS中的一系列的漏洞。漏洞列表包括訪問繞過問題，跨站點請求偽造（CSRF）漏洞和遠程代碼執(zhí)行的問題。

其中最嚴重的漏洞是編號為CVE-2017-6377訪問繞過漏洞，影響了CMS的編輯器模塊。

“當通過配置的文本編輯器（如CKEditor）添加專用文件時，編輯器將無法正確檢查被附加的文件的訪問，導致訪問繞過” Drupal安全公告描述到。

另一個中度嚴重的漏洞是編號為CVE-2017-6379的CSRF漏洞。攻擊者能夠利用這個漏洞通過已知的區(qū)塊ID來禁用網(wǎng)站的某些區(qū)塊。

在列表中，我們還發(fā)現(xiàn)了一個中度危險的CVE-2017-6381遠程代碼執(zhí)行漏洞。 RCE漏洞CVE-2017-6381會影響第三方開發(fā)庫和依賴程序的開發(fā)。

好消息是，Drupal Composer依賴項通常不會安裝，并且默認執(zhí)行.htaccess中的php保護。

為了提高Drupal安裝的安全性，Drupal v8.2.7包括了phpunit開發(fā)依賴的安全更新。 基本上，新版本中的Drupal核心需要最安全的phpunit版本。

更新Drupal版本是很必要的，CMS是黑客的特權(quán)目標，試圖利用在線可用的漏洞代碼來發(fā)現(xiàn)已知的漏洞。過時的版本會暴露網(wǎng)站使其用戶有網(wǎng)絡(luò)攻擊的風險。

關(guān)于Drupal

Drupal是一個開源的內(nèi)容管理系統(tǒng)(CMS)平臺，用于構(gòu)造提供多種功能和服務(wù)的動態(tài)網(wǎng)站，這些功能包括用戶管理(User Administration)、發(fā)布工作流(Publishing Workflow)、討論、新聞聚合(News Aggregation)、元數(shù)據(jù)(Metadata)操作和用于內(nèi)容共享的XML發(fā)布。它綜合了強大并可自由配置的功能，能支持從個人博客 (Personal Weblog)到大型社區(qū)驅(qū)動(Community-Driven)的網(wǎng)站等各種不同應用的網(wǎng)站項目。

原文：http://securityaffairs.co/wordpress/57192/hacking/drupal-version-8-2-7.html