加QQ81758415
快捷导航

Drupal CMS网站爆高危漏洞CVE-2017-6926

2018-3-26 08:00| 发布者: xlbck| 查看: 15| 评论: 0|原作者: xlbck

摘要: 严重漏洞CVE-2017-6926,具有发表评论权限的用户可以查看他们无权访问的内容和评论,并且还可以为该内容添加评论。绿盟科技发布预警通告。

著名的Drupal CMS网站爆出7个漏洞,其中1个严重漏洞CVE-2017-6926,具有发表评论权限的用户可以查看他们无权访问的内容和评论,并且还可以为该内容添加评论。涉及CVEID包括 CVE-2017-6926至CVE-2017-6932,相关列表如下,绿盟科技发布《 Drupal下周将发布重要安全补丁威胁预警通告

  1. 评论回复表单允许访问受限制的内容 - 严重 - Drupal 8 - CVE-2017-6926

  2. JavaScript跨站脚本预防不完整 - 关键 - Drupal 7和Drupal 8 - CVE-2017-6927

  3. 专用文件访问旁路 - 中等严重 - Drupal 7 - CVE-2017-6928

  4. 不受信任的域的jQuery漏洞 - 中等严重 - Drupal 7 - CVE-2017-6929

  5. 语言后备在具有节点访问限制的多语言网站上可能不正确 - 中等严重 - Drupal 8 - CVE-2017-6930

  6. 设置托盘访问旁路 - 中等严重 - Drupal 8 - CVE-2017-6931

  7. 链接到当前页面时404页上的外部链接注入 - 较少 - Drupal 7 - CVE-2017-6932

更多信息请参看

https://www.drupal.org/sa-core-2018-001

Drupal是什么

百度百科,Drupal是使用PHP语言编写的开源内容管理框架(CMF),它由内容管理系统(CMS)和PHP开发框架(Framework)共同构成。连续多年荣获全球最佳CMS大奖,是基于PHP语言最著名的WEB应用程序。截止2011年底,共有13,802位WEB专家参加了Drupal的开发工作;228个国家使用181种语言的729,791位网站设计工作者使用Drupal。著名案例包括:联合国、美国白宫、美国商务部、纽约时报、华纳、迪斯尼、联邦快递、索尼、美国哈佛大学、Ubuntu等。

Drupal下周将发布重要安全补丁威胁预警通告

北京时间3月23日,Drupal官方发布一则声明表示将于当地时间3月28日18:00 – 19:00(北京时间3月29日凌晨2:00 – 3:00)发布重要更新,修复一个严重的安全漏洞,涉及Drupal 7.x, 8.3.x, 8.4.x和8.5.x版本。由于该漏洞十分严重,攻击者能够极快的利用该漏洞进行攻击,因此Drupal安全团队建议用户下周预留出足够的时间完成更新升级,进行防护。

相关链接:

https://www.drupal.org/psa-2018-001

影响范围

受影响的版本

  • Drupal version 7.x
  • Drupal version 8.3.x
  • Drupal version 8.4.x
  • Drupal version 8.5.x

以上版本的Drupal均需要在下周补丁发布后进行升级来进行防护。

不受影响的版本

详细版本号官方将于下周放出。

解决方案

Drupal将发布适用全版本的更新补丁,请用户保持关注,并及时更新进行防护。参考地址: https://www.drupal.org/security ,Drupal将在该页面发布最新消息。

虽然Drupal 8.3.x和8.4.x已经不属于Drupal官方支持的版本,但鉴于此次漏洞的严重性,Drupal官方也会提供这2个版本的更新供用户进行更新,同时强烈建议用户采取以下措施:

  • 仍在使用 8.3.x 版本的用户应在下周及时更新到新发布的 8.4.x 版本,并且请计划在下个月升级到最新的 8.5.x 版本。
  • 仍在使用 8.4.x 版本的用户应在下周及时更新到新发布的 8.4.x 版本,并且请计划在下个月升级到最新的 8.5.x 版本。
  • 使用7.x和8.5.x版本的用户可以使用正常的步骤,在下周更新到新版本。

参考链接:

https://www.drupal.org/psa-2018-001

绿盟科技声明

本安全公告仅用来描述可能存在的安全问题,绿盟科技不为此安全公告提供任何保证或承诺。由于传播、利用此安全公告所提供的信息而造成的任何直接或者间接的后果及损失,均由使用者本人负责,绿盟科技以及安全公告作者不为此承担任何责任。绿盟科技拥有对此安全公告的修改和解释权。如欲转载或传播此安全公告,必须保证此安全公告的完整性,包括版权声明等全部内容。未经绿盟科技允许,不得任意修改或者增减此安全公告内容,不得以任何方式将其用于商业目的。


鲜花

握手

雷人

路过

鸡蛋
黑客技术

让创业更简单

  • 反馈建议:hackhl@outlook.com
  • 客服电话:暂时没有
  • 工作时间:周一到周五9点~22点

云服务支持

黑客联盟,快速搜索

关注我们

Copyright 黑客联盟安全防护网  Powered by©  技术支持:    ( 闽ICP备18000419号-1 )