站长们注意啦!开源CMS Drupal 8发布更新修复多处高危漏洞补丁,提示您升级

最新推荐文章于 2024-04-10 13:24:45 发布
最新推荐文章于 2024-04-10 13:24:45 发布
阅读量126 收藏
点赞数
原文链接:https://yq.aliyun.com/articles/175079
版权

据外媒报道, Drupal 研究人员于 8 月 16 日发布安全报告,宣称已修复 Drupal 8 多处漏洞并在线更新安全补丁。研究显示这些漏洞影响 Drupal 8 多个系统组件,包括实体访问系统、REST API 与部分视图组件。

  • CVE-2017-6925

研究人员发现 Drupal 8.3.7 中存在一处高危漏洞(CVE-2017-6925),影响实体访问系统,允许攻击者查看、创建、删除或更新实体。不过,该漏洞仅影响不具备 UUID 实体,以及对同一实体不同版本有多种访问限制的实体系统。

  • CVE-2017-6924

在 Drupal 8 中存在另一绕过访问权限的关键漏洞(CVE-2017-6924),即当无访问权限的任何用户驻留在 REST API 时,允许通过 REST 发布评论。目前,此漏洞已被评估为高危漏洞,因为它影响具有 RESTful Web 服务模块与启用注释实体 REST 资源的站点。

  • CVE-2017-6923

在 Drupal 8 中还存在另一关键漏洞(CVE-2017-6923)影响视图组件。当用户创建视图时,可以选择使用 Ajax 通过过滤器参数更新数据。不过,视图子模块仅对配置为 Ajax 的视图进行访问。如果用户对视图具有访问限制,那么可以减轻系统损失,即使用户正使用另一模块显示。

目前,Drupal 官方安全研究人员建议用户尽快全盘检测系统并将 Drupal 升级至最新版本。
点击可查看Drupal官方公告详情

受影响版本:

Drupal core 8.x 版本和 8.3.7之前的版本

安全版本:

Drupal 7 core不受影响

安全方案:

阿里云安全团队建议使用了Drupal 8的用户关注并及时更新到官方最新版8.3.7

情报来源:

HackerNews:http://hackernews.cc/archives/13634

weixin_34268310
关注
  • 0
    点赞
  • 0
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
drupal远程代码执行 (CVE-2018-7600)漏洞学习与复现
seek_2022的博客
12-17 4400
CVE-2018-7600漏洞学习与复现
DRUPAL 8.x远程代码执行漏洞(CVE-2018-7600)
errorr0
07-28 1679
drupal命令执行
drupal漏洞复现
qq_45230030的博客
01-04 906
drupal cms 漏洞复现
Drupal远程代码执行漏洞
longwanlian的博客
11-29 634
Drupal是使用PHP语言编写的开源内容管理框架(CMF),它由由内容管理系统和PHP开发框架共同构成,在GPL2.0及更新协议下发布。连续多年荣获全球最佳CMS大奖,是基于PHP语言最著名的WEB应用程序。2018年3月28日,Drupal Security Team官方发布公告称Drupal 6,7,8等多个子版本存在远程代码执行漏洞,攻击者可以利用该漏洞执行恶意代码。
漏洞复现-Drupal远程代码执行漏洞(CVE-2018-7602)
qq_45751902的博客
10-23 2056
的多个子系统中存在一个远程执行代码漏洞。这可能允许攻击者利用 Drupal 站点上的多个攻击媒介,从而导致该站点受到威胁。此漏洞Drupal 核心 - 高度关键 - 远程代码执行 - SA-CORE-2018-002 有关。SA-CORE-2018-002 和此漏洞都在野外被利用。-c 后面接命令,紧随账号,密码。
Drupal CMS 开源内容管理系统 v8.5.0
11-07
Drupal CMS(内容管理系统)是一个强大的开源软件,专为构建功能丰富的网站而设计。v8.5.0是这个系统的一个重要版本,它基于PHP编程语言,具有高度的灵活性和可扩展性,允许开发者和非开发者构建和管理各种类型的...
Drupal CMS 开源内容管理系统 v8.4.5
11-07
9. **更新和维护**:作为开源项目,Drupal 持续更新修复问题、添加新功能并提高性能。用户可以通过 Drupal.org 获取最新版本,确保网站始终于最佳状态。 10. **社区支持**:Drupal 具有庞大的开发者社区,用户...
LAD:Drupal 8多站点项目
04-07
Ladygin.com / Drupal 8多站点项目 该项目基于Acquia Lightning发行版。 一些额外的补丁添加到composer.json 。 定制安装配置文件 出于多种目的,使用了安装配置文件的功能,该功能是在Acquia Lightning子配置文件...
CMS程序Drupal 5.19-drupal-codepub.zip
03-09
Drupal 是一个功能强大的开源内容管理系统(CMS),专为构建复杂且可扩展的网站而设计。在 Drupal 5.19 版本中,这个平台提供了一系列改进和更新,旨在提升用户体验、性能以及安全性。该版本可能包括修复了若干已知...
CMS程序Drupal 6.13-drupal6.x-codepub.zip
03-09
不过,需要注意的是,Drupal 6已不再受官方维护,2016年后不再接收安全更新,因此,尽管这个压缩包可能包含了一些安全补丁,但长期使用仍存在风险。 7. **文件管理和上传**:Drupal 6有完善的文件管理系统,用户...
[Vulnhub]Drupal7.3漏洞复现
qq_69209270的博客
10-07 282
cve-2014-3704主要判断是否有sql漏洞,后面操作全是靠kali中工具网站要学会利用kali中的工具,kali中工具很多,尤其是searchsploit工具,大部分cms漏洞都可以在上面找到。
Drupal远程代码执行漏(CVE-2019-6340)
qq_59975439的博客
06-10 1623
Drupal远程代码执行漏(CVE-2019-6340)
Drupal远程代码执行漏洞(CVE-2018-7600)
最新发布
ANOrange的博客
04-10 785
DrupalDrupal社区所维护的一套用PHP语言开发的免费、开源的内容管理系统。Drupal中带有默认或通用模块配置的多个子系统存在安全漏洞。远程攻击者可利用该漏洞执行任意代码。通过对比官方的补丁,可以得知是请求中存在 # 开头的参数。Drupal Render API 对于 # 有特殊理。
Drupal 远程代码执行漏洞(CVE-2019-6339)
limb0的博客
07-04 9008
Drupal 远程代码执行漏洞(CVE-2019-6339) 一、漏洞介绍 Drupal core是Drupal社区所维护的一套用PHP语言开发的免费、开源的内容管理系统。 Drupal core 7.62之前的7.x版本、8.6.6之前的8.6.x版本和8.5.9之前的8.5.x版本中的内置phar stream wrapper(PHP)存在远程代码执行漏洞。远程攻击者可利用该漏洞执行任意的php代码。 二、漏洞危害 远程代码执行。 三、漏洞验证 环境搭建: 实验环境 系统 IP地址 攻击
Drupal远程代码执行漏洞(CVE-2019-6339)
weixin_46411728的博客
08-25 2608
Drupal 远程代码执行漏洞(CVE-2019-6339)
【CVE-2018-7600】Drupal 8 远程代码执行漏洞
Mr_atopos的博客
06-07 2809
使用vulhub搭建环境使用vulhub搭建环境出现了一些问题,这里直接使用BUU的环境 BUU CEV-2018-7600进去也要初始化环境,一开始语言选择英文,数据库选择SQLite 其他的可以随便设置 进入 这个漏洞可能出现在填写表单的地方,该漏洞是Form API在用户提交表单数据时可以在表单渲染过程中修改表单数据想利用该漏洞,就需要在表单结构中的某个地方注入渲染数组,所以,首先要找到注入位置可以利用注册用户来进行漏洞利用先随便输入测试 通过查阅 Drupal 的代码和文档,可以知道,对于
Drupal漏洞复现:CVE-2019-6341
weixin_59086772的博客
12-30 2204
近期遇到Drupal漏洞,研究了一下,给大家分享一篇复现,望共鸣 前言: Vulhub是一个基于docker和docker-compose的漏洞环境集合,进入对应目录并执行一条语句即可启动一个全新的漏洞环境,让漏洞复现变得更加简单,让安全研究者更加专注于漏洞原理本身。 好哥哥,你等会,你刚才讲的docker我听了个大概,这docker-compose又是啥玩应啊? docker-compose是用python写的一个docker容器管理工具,可以一键启动多个容器、可以一键日卫星。。。。。。假的假的,
besscms开源框架v3.4文件上传漏洞绕过&小迪安全第51天代码审计
DamnVanish的博客
10-01 489
besscms开源框架v3.4文件上传漏洞绕过&小迪安全第51天代码审计
Drupal Core 8 PECL YAML 反序列化任意代码执行漏洞(CVE-2017-6920)
weixin_56537388的博客
11-27 148
启用 yaml.decode_php 否则无法复现成功 echo 'yaml.decode_php = 1 = 1'>>/usr/local/etc/php/conf.d/docker-php-ext-yaml.ini。环境启动后,访问 将会看到drupal的安装页面,一路默认配置下一步安装。这里官方提供的没有切换路径,需要自己切换以下,可以cat sources.list看有没有换源成功。# 换镜像源,默认带vim编辑器,所以用cat换源,可以换成自己喜欢的源。这里用阿里云的源,网易的失效了。
Drupal 7宝典:从入门到精通的开源CMS指南
Drupal 7宝典是一本深入讲解开源内容管理系统Drupal 7的专业书籍,由Ric Shreves和Brice Dunwoodie共同编写,方擎伊仲翻译。本书不仅提供实用的教程和实际应用案例,还包含了丰富的参考资料和背景知识,适合web...
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值