Drupal v8.2.7發(fā)布,修復(fù)了多個(gè)CMS漏洞
責(zé)編:mhshi |2017-03-23 10:27:41Drupal開發(fā)團(tuán)隊(duì)發(fā)布了Drupal 8.2.7版本,解決了流行CMS中的一系列的漏洞。漏洞列表包括訪問繞過問題,跨站點(diǎn)請求偽造(CSRF)漏洞和遠(yuǎn)程代碼執(zhí)行的問題。
其中最嚴(yán)重的漏洞是編號為CVE-2017-6377訪問繞過漏洞,影響了CMS的編輯器模塊。
“當(dāng)通過配置的文本編輯器(如CKEditor)添加專用文件時(shí),編輯器將無法正確檢查被附加的文件的訪問,導(dǎo)致訪問繞過” Drupal安全公告描述到。
另一個(gè)中度嚴(yán)重的漏洞是編號為CVE-2017-6379的CSRF漏洞。攻擊者能夠利用這個(gè)漏洞通過已知的區(qū)塊ID來禁用網(wǎng)站的某些區(qū)塊。
在列表中,我們還發(fā)現(xiàn)了一個(gè)中度危險(xiǎn)的CVE-2017-6381遠(yuǎn)程代碼執(zhí)行漏洞。 RCE漏洞CVE-2017-6381會影響第三方開發(fā)庫和依賴程序的開發(fā)。
好消息是,Drupal Composer依賴項(xiàng)通常不會安裝,并且默認(rèn)執(zhí)行.htaccess中的php保護(hù)。
為了提高Drupal安裝的安全性,Drupal v8.2.7包括了phpunit開發(fā)依賴的安全更新。 基本上,新版本中的Drupal核心需要最安全的phpunit版本。
更新Drupal版本是很必要的,CMS是黑客的特權(quán)目標(biāo),試圖利用在線可用的漏洞代碼來發(fā)現(xiàn)已知的漏洞。過時(shí)的版本會暴露網(wǎng)站使其用戶有網(wǎng)絡(luò)攻擊的風(fēng)險(xiǎn)。
關(guān)于Drupal
Drupal是一個(gè)開源的內(nèi)容管理系統(tǒng)(CMS)平臺,用于構(gòu)造提供多種功能和服務(wù)的動態(tài)網(wǎng)站,這些功能包括用戶管理(User Administration)、發(fā)布工作流(Publishing Workflow)、討論、新聞聚合(News Aggregation)、元數(shù)據(jù)(Metadata)操作和用于內(nèi)容共享的XML發(fā)布。它綜合了強(qiáng)大并可自由配置的功能,能支持從個(gè)人博客 (Personal Weblog)到大型社區(qū)驅(qū)動(Community-Driven)的網(wǎng)站等各種不同應(yīng)用的網(wǎng)站項(xiàng)目。
原文:http://securityaffairs.co/wordpress/57192/hacking/drupal-version-8-2-7.html
- ISC.AI 2025正式啟動:AI與安全協(xié)同進(jìn)化,開啟數(shù)智未來
- 360安全云聯(lián)運(yùn)商座談會圓滿落幕 數(shù)十家企業(yè)獲“聯(lián)營聯(lián)運(yùn)”認(rèn)證!
- 280萬人健康數(shù)據(jù)被盜,兩家大型醫(yī)療集團(tuán)賠償超4700萬元
- 推動數(shù)據(jù)要素安全流通的機(jī)制與技術(shù)
- RSAC 2025前瞻:Agentic AI將成為行業(yè)新風(fēng)向
- 因被黑致使個(gè)人信息泄露,企業(yè)賠償員工超5000萬元
- UTG-Q-017:“短平快”體系下的高級竊密組織
- 算力并網(wǎng)可信交易技術(shù)與應(yīng)用白皮書
- 美國美中委員會發(fā)布DeepSeek調(diào)查報(bào)告
- 2024年中國網(wǎng)絡(luò)與信息法治建設(shè)回顧