近期,安全专家在全球流行的Drupal CMS中发现了一个致命漏洞CVE-2019-6340,可导致远程代码执行。
Drupal也很快发布了安全更新。CVE-2019-6340主要是由于某些字段类型中缺少适当的安全过滤造成的,导致攻击者可用这个漏洞执行任意PHP代码。
这个漏洞是由Drupal安全团队的Samuel Mortenson发现的。
为了成功利用CVE-2019-6340,Drupal必须启用核心RESTful Web模块,并可接受PATCH或POST请求。如果启用了另一个Web服务模块(如Drupal 8中的JSON:API或Drupal 7中的RETSTful Web服务),也有可能触发该漏洞。
Drupal发布的Drupal 8.6.10和8.5.11已解决了这个漏洞。Drupal 7暂时不需要更新,但专家指出貌似也存在潜在的风险。
“如果想立刻拦截此漏洞的攻击,你可以禁用所有Web服务模块,或者禁止Web服务器接受Put/Patch/Post请求”。
“请注意,根据服务器的配置,Web服务可以在多个路径上访问。在Drupal 7上,资源通常可以通过路径以及“q”查询参数的结合进行查询。对于Drupal 8,若前缀为index.php/,路径依然可以正常访问。
Drupal用户最好尽快安装最新版本。
本文由白帽汇整理并翻译,不代表白帽汇任何观点和立场
来源:https://securityaffairs.co/wordpress/81461/hacking/drupal-cve-2019-6340-rce.html