Drupal 曝出代码执行高危漏洞,数百万网站受影响

最新推荐文章于 2023-11-27 11:22:02 发布
最新推荐文章于 2023-11-27 11:22:02 发布
阅读量137 收藏
点赞数
文章标签: php

百度智能云 云生态狂欢季 热门云产品1折起>>>  hot3.png

Drupal 开源内容管理系统曝出了一个允许黑客远程执行代码的高危漏洞,影响数以百万计的网站,如果不及时打补丁,这些使用 Drupal 的网站将面临被劫持的风险。

漏洞编号 CVE-2019-6340根源在于未能充分验证用户输入。利用该漏洞首先需要满足两个条件:

  • 启用 Drupal 8 core RESTful Web Services (rest) 模块,允许 PATCH 或 POST 请求;
  • 启用 Drupal 8 的 JSON:API 或者是Drupal 7 的 Services 或 RESTful Web Services 模块。

开发者建议网站管理员尽可能快地进行更新。

Drupal 是除 WordPress 和 Joomla 之外使用最广泛的内容管理系统(CMS)。Drupal 项目负责人表示,截至本月,Drupal 已被大约 120 万个站点使用,但他也表示这是“不完整”的估计。

来自:https://www.solidot.org/story?sid=59659

weixin_33713350
关注
  • 0
    点赞
  • 0
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
CVE-2019-6340】Drupal 8.x REST RCE 远程执行代码漏洞复现
Blog of Jaoing
04-21 2791
Drupal 是由德赖斯·布伊泰尔特创立的自由开源内容管理系统,用PHP语言写成。在业界,Drupal常被视为内容管理框架(CMF),而非一般意义上的内容管理系统(CMS)。 2019-02-20,Drupal 安全团队披露了一个安全漏洞CVE-2019-6340),如果网站开启了......
CVE-2018-7600 Drupal漏洞原理的简单分析与复现
锋刃科技的博客
11-12 8383
0x00组件背景 Drupal是使用PHP语言编写的开源内容管理框架(CMF),它由内容管理系统(CMS)和PHP开发框架(Framework)共同构成。连续多年荣获全球最佳CMS大奖,是基于PHP语言最著名的WEB应用程序。 0x01漏洞位置 这里有个call_user_func_array call_user_func_array函数是调用第一个参数的函数 传入的参数数第二个参数数...
DRUPAL 8.x远程代码执行漏洞(CVE-2018-7600)
errorr0
07-28 1679
drupal命令执行
CVE-2018-7600Drupal 8 远程代码执行漏洞
Mr_atopos的博客
06-07 2809
使用vulhub搭建环境使用vulhub搭建环境出现了一些问题,这里直接使用BUU的环境 BUU CEV-2018-7600进去也要初始化环境,一开始语言选择英文,数据库选择SQLite 其他的可以随便设置 进入 这个漏洞可能出现在填写表单的地方,该漏洞是Form API在用户提交表单数据时可以在表单渲染过程中修改表单数据想利用该漏洞,就需要在表单结构中的某个地方注入渲染数组,所以,首先要找到注入位置可以利用注册用户来进行漏洞利用先随便输入测试 通过查阅 Drupal代码和文档,可以知道,对于
Drupal Core 8 PECL YAML 反序列化任意代码执行漏洞CVE-2017-6920)
最新发布
weixin_56537388的博客
11-27 148
启用 yaml.decode_php 否则无法复现成功 echo 'yaml.decode_php = 1 = 1'>>/usr/local/etc/php/conf.d/docker-php-ext-yaml.ini。环境启动后,访问 将会看到drupal的安装页面,一路默认配置下一步安装。这里官方提供的没有切换路径,需要自己切换以下,可以cat sources.list看有没有换源成功。# 换镜像源,默认带vim编辑器,所以用cat换源,可以换成自己喜欢的源。这里用阿里云的源,网易的失效了。
Drupal Core RESTful远程代码执行漏洞(CVE-2019-6340)
07-10
使用docker-compose命令一步搭建Drupal Core RESTful远程代码执行漏洞(CVE-2019-6340) 的漏洞环境
Drupal代码
03-18
查看安装过程Drupal v6.20 安装调试 Drupal是一个开源的...Drupal有一个优秀的模块化结构,提供了许多模块,包括短消息、个性化书签、网站管理、Blog、日记、电子商务、电子出版、留言簿、Job、网上电影院、论坛、投票
drupal-jenkins-demo:Drupal网站演示Jenkins代码检查
05-12
Drupal Jenkins演示...内容Drupal 7.8 :用作静态代码分析和单元测试的示例模块构建文件和配置: 作为\build的子模块包含在内,并此自述文件相关项目:Drupal项目的模板Phing build.xml文件: 的标准Jenkins作业模板
漏洞复现-Drupal远程代码执行漏洞CVE-2018-7602)
qq_45751902的博客
10-23 2056
的多个子系统中存在一个远程执行代码漏洞。这可能允许攻击者利用 Drupal 站点上的多个攻击媒介,从而导致该站点到威胁。此漏洞Drupal 核心 - 高度关键 - 远程代码执行 - SA-CORE-2018-002 有关。SA-CORE-2018-002 和此漏洞都在野外被利用。-c 后面接命令,紧随账号,密码。
开源框架 Drupal 修复多个访问绕过和 CSRF 漏洞
smellycat000的专栏
09-17 224
聚焦源代码安全,网罗国内外最新资讯!编译:代码卫士本周三,Drupal 开发人员通知用户称已发布 Drupal 8.9、9.1和9.2版本更新,修复了五个可导致跨站请求伪造 (CSRF)...
内容管理系统Drupal提出重大安全漏洞
weixin_34311757的博客
02-23 394
2019独角兽企业重金招聘Python工程师标准>>> ...
Drupal 8.x 远程执行代码漏洞复现记录
aliexiansheng的博客
08-20 1042
Drupal 8.x 远程执行代码漏洞复现记录 目录 漏洞概述 漏洞影响版本 漏洞环境搭建 漏洞评级 漏洞修复意见 1.漏洞概述 Drupal官方发布安全通告称修复了一个高危的远程代码执行漏洞CVE-2019-6340)。该漏洞源于某些字段在通过非表格(non-form resources)类型输入时未能正确过滤,导致潜在的任意PHP代码执行 2.影响版本 Drupal 8.6.x < 8.6.10 Drupal 8.5.x(或更早版本) < 8.5.11 3.环境搭建 1.使用doc
Drupal 7.31版本最新漏洞利用个人完整总结,共享出来(附上利用源码)
kikaylee的专栏
10-23 8399
10月16日有国外安全研究人员在Twitter上曝出Drupal 7.31版本的最新SQL注入漏洞,并给出了利用测试的EXP代码,小编在本地搭建Drupal7.31的环境,经过测试,发现该利用代码可成功执行并在数据库中增加一个攻击者自定义的用户。
Drupal 7.31 SQL注入漏洞利用详解及EXP
热门推荐
Exploit的小站~
05-10 2万+
 有意迟几天放出来这篇文章以及程序,不过看样子Drupal的这个洞没有引起多少重视,所以我也没有必要按着不发了,不过说实话这个洞威力挺大的,当然,这也是Drupal本身没有意料到的。 0x00 首先,这个漏洞真的很大,而且Drupal用的也比较多,应该可以扫出很多漏洞主机,但是做批量可能会对对方网站造成很大的损失,所以我也就只是写个Exp。不过,这个洞好像不怎么被重视,这也是极为不合适。...
cve-2019-6340 drupal8 rest rce 漏洞复现
whatday的专栏
07-20 2968
目录 0X1 漏洞概述 0X2 环境搭建 0X3 漏洞利用 0X4漏洞分析 0X1 漏洞概述 Drupal官方之前更新了一个非常关键的安全补丁,修复了因为接的反序列化数据过滤不够严格,在开启REST的Web服务拓展模块的情况下,可能导致PHP代码执行的严重安全。 根据官方公告和自身实践,8.6.x或(<8.6.10)两种情况可能导致问题出现: RESTful Web Services拓展开启,并且启用了REST资源(默认配置即可),不需要区分GET,POST等方法即可完成攻击。 .
Drupal 8入门指南:构建网站无编程
第二章深入到网站构建,介绍如何在不编写代码的情况下构建Drupal站点。这里会涉及到Drupal的内容管理、块布局、菜单管理和模块安装等方面,帮助读者快速创建一个功能齐全的网站。 第三章和第四章分别介绍了HTML和...
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值