Cve-2019-6340 Drupal遠程代碼執行漏洞
新聞
02-24
Drupal近日發布安全更新,解決了Drupal CMS系統中的一個highly critical的漏洞,該漏洞CVE編號為CVE-2019-6340,攻擊者利用該漏洞可以進行遠程代碼執行。
CVE-2019-6340漏洞是由於對部分域類型的數據處理不當造成的,攻擊者利用該漏洞可以執行任意的PHP代碼。
Drupal的安全公告稱,一些域類型沒能適當處理來自非form源的數據,導致在一些情況下產生了任意的PHP代碼執行漏洞。
為了利用該漏洞,攻擊者需要啟用核心的RESTful Web Services模塊,並允許PATCH 或POST請求。如果啟用了Drupal 8中的JSON:API或Drupal 7中的RESTful Web服務這類web服務模塊,也可能觸發該漏洞。
Drupal發布了Drupal 8.6.10和8.5.11來應對該漏洞。如果用戶使用的是Drupal 7,就不需要更新。但專家指出Drupal 7的部分模塊也需要更新。
Drupal在安全公告中建議用戶禁用所有的web服務模塊或將web伺服器配置為不允許接收PUT/PATCH/POST請求到web服務資源。根據伺服器的配置情況,web服務資源可能存在於多個路徑中。對Drupal 7,資源主要是通過路徑或參數到q查詢參數。對Drupal 8,在前綴為index.php/的頁面上,路徑仍然是工作的。
最後建議用戶儘快安裝更新。
Drupal安全公共見https://www.drupal.org/sa-core-2019-003。
※利用機器學習突破基於文本的CAPTCHA驗證碼程序
※首次在微軟商店中發現挖礦劫持軟體
TAG:嘶吼RoarTalk |