Cve-2019-6340 Drupal遠程代碼執行漏洞

Drupal近日發布安全更新，解決了Drupal CMS系統中的一個highly critical的漏洞，該漏洞CVE編號為CVE-2019-6340，攻擊者利用該漏洞可以進行遠程代碼執行。

CVE-2019-6340漏洞是由於對部分域類型的數據處理不當造成的，攻擊者利用該漏洞可以執行任意的PHP代碼。

Drupal的安全公告稱，一些域類型沒能適當處理來自非form源的數據，導致在一些情況下產生了任意的PHP代碼執行漏洞。

為了利用該漏洞，攻擊者需要啟用核心的RESTful Web Services模塊，並允許PATCH 或POST請求。如果啟用了Drupal 8中的JSON:API或Drupal 7中的RESTful Web服務這類web服務模塊，也可能觸發該漏洞。

Drupal發布了Drupal 8.6.10和8.5.11來應對該漏洞。如果用戶使用的是Drupal 7，就不需要更新。但專家指出Drupal 7的部分模塊也需要更新。

Drupal在安全公告中建議用戶禁用所有的web服務模塊或將web伺服器配置為不允許接收PUT/PATCH/POST請求到web服務資源。根據伺服器的配置情況，web服務資源可能存在於多個路徑中。對Drupal 7，資源主要是通過路徑或參數到q查詢參數。對Drupal 8，在前綴為index.php/的頁面上，路徑仍然是工作的。

最後建議用戶儘快安裝更新。

Drupal安全公共見https://www.drupal.org/sa-core-2019-003。

喜歡這篇文章嗎？立刻分享出去讓更多人知道吧！