Drupal官方近期修复了可导致黑客接管网站的高危漏洞

发表于:2019-7-19 09:05

字体: | 上一篇 | 下一篇 | 我要投稿

 作者:佚名    来源:NOSEC安全讯息平台

#
漏洞
#
Drupal
分享:
  近期,Drupal CMS团队发布了一个安全更新,以解决CMS核心组件中的一个高危的权限绕过漏洞,该漏洞可导致攻击者直接接管目标站点,被标记为CVE-2019-6342。
  根据官方的安全建议,只有少数Drupal CMS网站受到影响,因为该漏洞只影响Drupal 8.7.4,Drupal 8.7.3以及更早版本,Drupal 8.6.x以及更早版本。Drupal 7.x不受影响。
  “在Drupal 8.7.4中,一旦启用了Workspaces模块,就有可能导致网站被接管。”
  Drupal 8.7.5已修补了漏洞
  最新的Drupal 8.7.5已在近期发布,网站管理员可至官网下载以修复漏洞。
  此外,根据Drupal开发团队的说法,此次安全修复只适用于运行了update.php的网站——这是升级到Drupal 8.7.5时必备组件。
  对于已启用Workspaces模块的站点,需要运行update.php以确保清理出所需缓存。如果存在反向代理缓存或CDN(如Varnish、CloudFlare),也建议暂时清除这些缓存或关闭CDN。——Drupal团队
  需要着重说明的是,这个漏洞可让任意未经过身份验证的攻击者直接通过URL来接管整个网站。
  幸运的是,目前还没有发现利用这个漏洞发起的攻击。但是,一旦有攻击者开发出PoC,那么大多数运行着Drupal 8.7.4的网站都有可能被攻击者盯上,因为Workspaces模块是通用模块。
  其他防御措施
  对于那些无法立即更新Drupal的站点,管理员也可采用其他防御措施,最简单的方法是禁用Workspaces模块。
  美国国土安全部网络安全和基础设施安全局(CISA)也发布了一个警告,敦促Drupal管理员将网站升级到最新版Drupal 8.7.5。
  
  目前,全球大概有1093220个网站使用了Drupal,其中290958个使用了Drupal 8.x。这个数据来源于Usage statistics for Drupal core
  需要注意的是,这些统计数字并不精准。这些数据只统计了存在Update Status模块的Drupal站点。而从Drupal 6.x版本开始才有这个模块,所以之前的老版本网站并不包括在内。
  此外,根据W3Techs对全球CMS(内容管理系统)网站的统计,1.8%的网站使用Drupal,它已成为互联网上第三大流行的CMS,仅次于Wordpress(34.2%)和Joomla(2.8%)。

      上文内容不用于商业目的,如涉及知识产权问题,请权利人联系博为峰小编(021-64471599-8017),我们将立即处理
《2023软件测试行业现状调查报告》独家发布~

关注51Testing

联系我们

快捷面板 站点地图 联系我们 广告服务 关于我们 站长统计 发展历程

法律顾问:上海兰迪律师事务所 项棋律师
版权所有 上海博为峰软件技术股份有限公司 Copyright©51testing.com 2003-2024
投诉及意见反馈:webmaster@51testing.com; 业务联系:service@51testing.com 021-64471599-8017

沪ICP备05003035号

沪公网安备 31010102002173号