导语:在本周三,Drupal安全团队对外公布了其内容管理系统核心引擎的三个漏洞补丁,这三个漏洞中有两个的评级为高危,并且Drupal的核心版本8.X均受到影响,官方建议用户尽快升级到最新的8.1.10版本。

在本周三,Drupal安全团队对外公布了其内容管理系统核心引擎的三个漏洞补丁,这三个漏洞中有两个的评级为高危,并且Drupal的核心版本8.X均受到影响,官方建议用户尽快升级到最新的8.1.10版本。

Drupal 是一个由Dries Buytaert创立的自由开源的内容管理系统,用PHP语言写成。在业界Drupal常被视为内容管理框架(CMF),而非一般意义上的内容管理系统(CMS)

这三个漏洞可造成XSS漏洞

在这三个漏洞中有一个高危漏洞是会对HTTP异常处理造成严重影响的跨站点脚本漏洞(XSS),异常处理是专门设计用来处理可能会影响程序执行的异常情况的。

攻击者可以创建特定的URL,然后加载从而可以在受害者的浏览器中执行任意代码,安全顾问这样说道。他们没有对异常处理进行正确的消毒,在没有有管理员权限的情况下允许系统配置报告有一个完整的出口是非常严重的错误—该system.temporary路线允许一个完整的配置出口进行下载,但事实上这一情况应该被限制。

剩下的漏洞主要影响的是Drupal的站点评论管理权限问题。“对于谁有权编辑应该设置一个层级,最好是仅限于能够让管理员权限的人员进行编辑。”安全顾问这样说道。

今年七月,Drupal发布了解决其三个模块上的关键远程代码执行漏洞的安全更新:REST Web服务、编码器、网上表格多文件上传。7月13日时,这些模块已经被下载了10000次,REST Web服务非常流行,目前在5000多个Drupal的网站。

源链接

Hacking more

...