聚焦源代码安全,网罗国内外最新资讯!
编译:代码卫士
Drupal 开发人员发布安全更新,修复位于该开源内容管理系统 (CMS) 中的多个漏洞。
Drupal 发布四份安全公告,说明了四个漏洞。其中一个漏洞为“严重”等级的漏洞,其它三个是“中危”级别。Drupal 的评级标准是NIST 常见滥用评级系统而不是CVSS,这四个漏洞的评级为“不太严重”、“中等严重”、“严重”和“高度严重”。
“严重”等级的漏洞编号为CVE-2022-25277,影响 Drupal 9.3和9.4,影响 Drupal 核心。攻击者可上传特殊构造的文件在Apache web 服务器上执行任意PHP代码。
Drupal 开发人员指出,只有具有特定配置的 Apache web服务器受影响。他们建议网站管理员检查服务器中是否存在攻陷迹象。
三个“中危”漏洞也影响 Drupal 内核。如遭利用,可导致XSS攻击、信息泄露或访问绕过攻击。这些漏洞的补丁已包含在 Drupal 9.4.3和9.3.19中。其中的信息泄露漏洞也影响 Drupal 7且修复方案已包含在7.91版本中。
美国网络安全和基础设施安全局 (CISA) 建议 Drupal 用户审计这些安全公告并安装安全补丁。
虽然 Drupal 网站遭受的攻击不如 WordPress 网站严重,但多年来发现的 Drupal 漏洞被恶意人员用于垃圾邮件活动、入侵网站并传播恶意软件等。
代码卫士试用地址:https://codesafe.qianxin.com
开源卫士试用地址:https://oss.qianxin.com
推荐阅读
第三方库 Guzzle 修复高危的跨域 cookie 泄露漏洞,影响 Drupal等
Drupal第三方库jQuery UI起死回生,多个漏洞影响网站、企业产品等
速修复!开源编辑器CKEditor 中存在两个严重XSS漏洞,影响Drupal 和其它下游应用
原文链接
https://www.securityweek.com/code-execution-and-other-vulnerabilities-patched-drupal
题图:Pixabay License
本文由奇安信编译,不代表奇安信观点。转载请注明“转自奇安信代码卫士 https://codesafe.qianxin.com”。
奇安信代码卫士 (codesafe)
国内首个专注于软件开发安全的产品线。
觉得不错,就点个 “在看” 或 "赞” 吧~