中国最大最专业黑客组织 -- 中国黑客联盟 -- Hacker Union For China -- www.ChinaHacker.Com -- 黑色矩防火墙 -- 专业防御DDOS攻击

联盟首页 技术文章 软件下载 DDOS防御 核心申请 分站申请 邮局系统 技术咨询 区域分化 广告合作 代理服务 版本V6.22

-------- Welcome To Hacker Union For China !Thank You For Your Support !--------
================ 维护祖国尊严 爱我中华 强我中华 耀我中华 ================
中国黑客联盟>>网络信息  |   中国黑客联盟>>系统知识  |  
中国黑客联盟>>网络信息>>系统漏洞>>Drupal远程代码执行漏洞

Drupal远程代码执行漏洞


受影响系统:
Drupal Drupal 8.6.x < 8.6.10
Drupal Drupal 8.5.x < 8.5.11
描述:
--------------------------------------------------------------------------------
CVE(CAN) ID: CVE-2019-6340

Drupal是一款开源的内容管理平台。

Drupal 8.6.x < 8.6.10、8.5.x(或更早版本) < 8.5.11版本,在实现中存在远程代码执行漏洞。该漏洞源于某些字段在通过非表格(non-form resources)类型输入时未能正确过滤,导致潜在的任意PHP代码执行。

满足以下任意一个条件的用户受到该漏洞影响:

该站点启用了Drupal 8核心RESTful Web服务(rest)模块,并允许PATCH或POST请求
该站点启用了另一个Web服务模块,如Drupal 8中的JSON:API,或Drupal 7中的Services或RESTful Web Services

<*来源:Drupal
*>

建议:
--------------------------------------------------------------------------------
厂商补丁:

Drupal
------
Drupal官方已经发布了最新版本,请受影响的用户尽快升级进行防护。

暂时不便升级的用户,可以采取以下措施进行临时防护:

用户可以禁用所有Web服务模块,或将Web服务器配置为不允许对Web服务资源进行PUT / PATCH / POST请求。

请注意,Web服务资源可能在多个路径上可用,具体取决于服务器的配置。 对于Drupal 7,资源通常可通过路径(clean URL)和通过“q”查询参数获得。 对于Drupal 8,当使用index.php /作为前缀时,路径可能仍然有效。

详细步骤及官方建议请参考Drupal官方通告:

https://www.drupal.org/sa-core-2019-003

原作者:不详
来 源:不详
共有1087位读者阅读过此文

□- 本周热门文章
1.QQ你最关心的密码问题[87912]
2.美国正遭有史以来最为强烈的黑客袭击[39012]
3.经验之谈 ——判断电脑是否感染了病毒[35056]
4.中国黑客入侵韩国,狂删玩家250万[25795]
5.Windows XP 的网络及文件安...[23924]
6.GNU C Library icon...[19909]
7.在NT系列操作系统里让自己“消失”[19370]

关于我们 | 分站申请 | 成员申请 | 技术论坛 | 站内导航 | 合作伙伴 | 联系我们

Copyrights © 2002 - 2019 www.ChinaHacker.com All Rights Reserved

版权所有   中 国 黑 客 联 盟

(Hacker Union For China V 6.22)

闽ICP备05007859号