Drupal 修复代码执行等漏洞

最新推荐文章于 2024-06-22 09:52:18 发布
最新推荐文章于 2024-06-22 09:52:18 发布
阅读量571 收藏 1
点赞数
文章标签: 安全 linux 信息安全 php java
原文链接:https://mp.weixin.qq.com/s?__biz=MzI2NTg4OTc5Nw==&mid=2247513049&idx=3&sn=5c004df9e51a9f181aea0162ecd26e1d&chksm=ea9482b3dde30ba5c34470d00e7b49bd96f480d152a39fad95c29c3d79db8774fb480e0df783&scene=126&&sessionid=0
版权

513f20359c67125c13f66e499f7f0cf0.gif 聚焦源代码安全,网罗国内外最新资讯!

编译:代码卫士

ed1e8786727351b384e16db0e01f12e3.png

Drupal 开发人员发布安全更新,修复位于该开源内容管理系统 (CMS) 中的多个漏洞。

Drupal 发布四份安全公告,说明了四个漏洞。其中一个漏洞为“严重”等级的漏洞,其它三个是“中危”级别。Drupal 的评级标准是NIST 常见滥用评级系统而不是CVSS,这四个漏洞的评级为“不太严重”、“中等严重”、“严重”和“高度严重”。

“严重”等级的漏洞编号为CVE-2022-25277,影响 Drupal 9.3和9.4,影响 Drupal 核心。攻击者可上传特殊构造的文件在Apache web 服务器上执行任意PHP代码。

Drupal 开发人员指出,只有具有特定配置的 Apache web服务器受影响。他们建议网站管理员检查服务器中是否存在攻陷迹象。

三个“中危”漏洞也影响 Drupal 内核。如遭利用,可导致XSS攻击、信息泄露或访问绕过攻击。这些漏洞的补丁已包含在 Drupal 9.4.3和9.3.19中。其中的信息泄露漏洞也影响 Drupal 7且修复方案已包含在7.91版本中。

美国网络安全和基础设施安全局 (CISA) 建议 Drupal 用户审计这些安全公告并安装安全补丁。

虽然 Drupal 网站遭受的攻击不如 WordPress 网站严重,但多年来发现的 Drupal 漏洞被恶意人员用于垃圾邮件活动、入侵网站并传播恶意软件等。

代码卫士试用地址:https://codesafe.qianxin.com

开源卫士试用地址:https://oss.qianxin.com

推荐阅读

Drupal 修复第三方库Guzzle 的多个“高危”缺陷

第三方库 Guzzle 修复高危的跨域 cookie 泄露漏洞,影响 Drupal等

Drupal第三方库jQuery UI起死回生,多个漏洞影响网站、企业产品等

速修复!开源编辑器CKEditor 中存在两个严重XSS漏洞,影响Drupal 和其它下游应用

开源框架 Drupal 修复多个访问绕过和 CSRF 漏洞

原文链接

https://www.securityweek.com/code-execution-and-other-vulnerabilities-patched-drupal

题图:Pixabay License‍

本文由奇安信编译,不代表奇安信观点。转载请注明“转自奇安信代码卫士 https://codesafe.qianxin.com”。

b0cc2511188201af1f59de83b66528ff.jpeg

2e7489187b88af5bb06bd93b5c5ff400.jpeg

奇安信代码卫士 (codesafe)

国内首个专注于软件开发安全的产品线。

   1b1513421275c1a870bada9132acfde6.gif 觉得不错,就点个 “在看” 或 "赞” 吧~

奇安信代码卫士
关注
  • 0
    点赞
  • 1
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
drupal 7 ajax,【漏洞分析】CVE-2018-7600 Drupal 7.x 版本代码执行
weixin_35700003的博客
08-06 1280
阅读:8,003CVE-2018-7600影响范围包括了Drupal 6.x,7.x,8.x版本,前几天8.x版本的PoC出来之后大家都赶紧分析了一波,然后热度似乎慢慢退去了。两天前Drupalgeddon2项目更新了7.x版本的exp,实际环境也出现了利用,下面就简单来看一下0x01 概述CVE-2018-7600影响范围包括了Drupal 6.x,7.x,8.x版本,前几天8.x版本的PoC出...
Drupal 网站漏洞修复以及网站安全防护加固方法
网站安全专家
10-01 444
drupal是目前网站系统使用较多一个开源PHP管理系统,架构使用的是php环境+mysql数据库的环境配置,drupal代码开发较为严谨,安全性较高,但是再安全的网站系统,也会出现网站漏洞drupal是网站运行访问必不可少的一个分支,为了网站的安全,不被攻击者攻击,我们要对网站以及服务器进行全面的安全加固与安全设置,包括我们服务器安全设置,web安全设置,php环境安全设置,msyql数据库...
探秘Drupal 7安全漏洞利用工具:深度剖析与应用实践
最新发布
gitblog_00043的博客
06-22 377
探秘Drupal 7安全漏洞利用工具:深度剖析与应用实践 项目地址:https://gitcode.com/pimps/CVE-2018-7600 在网络安全的暗潮中,漏洞是永远的话题。今天,我们将深入探讨一个专为Drupal 7设计的安全研究工具,该工具针对著名的CVE-2018-7600与CVE-2018-7602漏洞进行了精准打击。对于那些对Web安全充满好奇,或是负责网站维护、安全审计的专...
内容管理系统Drupal提出重大安全漏洞
weixin_34311757的博客
02-23 395
2019独角兽企业重金招聘Python工程师标准>>> ...
Drupal远程代码执行漏洞(CVE-2019-6339)
weixin_46411728的博客
08-25 2617
Drupal 远程代码执行漏洞(CVE-2019-6339)
命令执行工具
07-29
Drupalgeddon2(CVE-2018-7600)是一个远程代码执行漏洞,允许攻击者通过精心构造的HTTP请求在受影响的Drupal站点上执行任意代码。这个漏洞影响了Drupal 7.x和8.x的多个版本,对全球大量网站构成了严重威胁。 针对...
PHP实例开发源码—Drupal PHP内容管理系统.zip
11-14
安全方面,Drupal遵循最佳实践,包括定期更新核心和模块以修复安全漏洞,以及使用安全代码编写习惯。了解 Drupal安全配置和最佳实践是任何 Drupal 开发者必须掌握的知识。 Drupal还支持多语言功能,使其成为...
椰树1.9修复
01-20
它能够自动检测出网站中存在的各种常见漏洞,如SQL注入、XSS跨站脚本攻击、CSRF跨站请求伪造、文件包含漏洞等。这些漏洞可能导致数据泄露、系统被控制或恶意代码执行,对企业的业务安全构成严重威胁。通过扫描,用户...
archive_ Drupal开源内容管理系统 v9.2.16 [江西新余电信].zip.zip
09-14
Drupal开源内容管理系统 v9.2.16 [江西新余电信].zip”可能包含了Drupal的源代码文件,用户可以通过解压文件,上传至服务器,并按照官方文档进行安装。这通常涉及数据库配置、设置管理员账号以及执行安装脚本等...
kMaper.py:CMS 漏洞扫描器 - 基于 Exploit-DB
05-31
Exploit-DB,全称Exploits Database,是由 Offensive Security 维护的一个免费且公开的数据库,收集了大量的安全漏洞利用代码。这个数据库对于安全研究人员和渗透测试人员来说,是一个宝贵的资源库,可以获取到最新...
Drupal 7.31最新SQL Injection漏洞利用脚本支撑库文件
10-23
Drupal 7.31最新SQL Injection漏洞利用脚本支撑库文件 具体利用方法可以参见http://blog.csdn.net/kikaylee/article/details/40400643
开源 CMS Drupal 修复 XSS 和开放重定向漏洞
smellycat000的专栏
05-22 703
聚焦源代码安全,网罗国内外最新资讯!编译:奇安信代码卫士团队开源CMS Drupal的更新修复了跨站脚本(XSS)漏洞和开放重定向漏洞,不过这些它们仅被评为“中危”级别。Dru...
Drupal漏洞Drupal 7.31 SQL漏洞
2301_77778745的博客
04-25 576
1.通过python调用drupal7.x.py脚本对数据库进行注入。test test(后面两个test是新设的用户名和密码)2.输入命令:python drupal7.x.py。
drupal漏洞复现
qq_45230030的博客
01-04 926
drupal cms 漏洞复现
callback噩梦:解析著名CMS框架Drupal SQL注入漏洞
weixin_33726318的博客
09-01 639
FreeBuf科普Drupal是使用PHP语言编写的开源内容管理框架(CMF),它由内容管理系统(CMS)和PHP开发框架(Framework)共同构成。连续多年荣获全球最佳CMS大奖,是基于PHP语言最著名的WEB应用程序。前几天爆了一个 Drupal 的 SQL Injection 注入漏洞,但是这个漏洞不止与 SQL 注入这么简单,还可以利用其...
漏洞复现-Drupal远程代码执行漏洞(CVE-2018-7602)
qq_45751902的博客
10-23 2073
的多个子系统中存在一个远程执行代码漏洞。这可能允许攻击者利用 Drupal 站点上的多个攻击媒介,从而导致该站点受到威胁。此漏洞Drupal 核心 - 高度关键 - 远程代码执行 - SA-CORE-2018-002 有关。SA-CORE-2018-002 和此漏洞都在野外被利用。-c 后面接命令,紧随账号,密码。
利用Vulnhub复现漏洞 - Drupal 小于 7.32 “Drupalgeddon” SQL注入漏洞(CVE-2014-3704)
JiangBuLiu的博客
07-02 2253
Drupal < 7.32 “Drupalgeddon” SQL注入漏洞(CVE-2014-3704)Vulnhub官方复现教程漏洞原理复现漏洞启动环境漏洞复现 Vulnhub官方复现教程 https://vulhub.org/#/environments/drupal/CVE-2014-3704/ 漏洞原理 Drupal 是一款用量庞大的CMS,其7.0~7.31版本中存在一处无需认证的S...
%3c?php+eval,callback噩梦:解析著名CMS框架Drupal SQL注入漏洞
weixin_39639040的博客
03-23 595
*本文中涉及到的相关漏洞已报送厂商并得到修复,本文仅限技术研究与讨论,严禁用于非法用途,否则产生的一切后果自行承担。‍‍‍‍FreeBuf科普‍‍‍‍‍‍Drupal是使用PHP语言编写的开源内容管理框架(CMF),它由内容管理系统(CMS)和PHP开发框架(Framework)共同构成。连续多年荣获全球最佳CMS大奖,是基于PHP语言最著名的WEB应用程序。‍‍‍‍前几天爆了一个 Drupal ...
Drupal中文教程:Using Drupal 中文版
Drupal 社区是其成功的关键因素之一,成员众多且活跃,他们不仅贡献代码,还开发了超过2,000个模块,这些模块极大地扩展了 Drupal 的功能。随着 Drupal 模块的持续更新和创新,用户可以利用这些模块构建出功能多样、...
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值