CVE-2019-6340:Drupal中的远程代码执行漏洞

2.png

近期,安全专家在全球流行的Drupal CMS中发现了一个致命漏洞CVE-2019-6340,可导致远程代码执行。

Drupal也很快发布了安全更新。CVE-2019-6340主要是由于某些字段类型中缺少适当的安全过滤造成的,导致攻击者可用这个漏洞执行任意PHP代码。

这个漏洞是由Drupal安全团队的Samuel Mortenson发现的。

为了成功利用CVE-2019-6340,Drupal必须启用核心RESTful Web模块,并可接受PATCH或POST请求。如果启用了另一个Web服务模块(如Drupal 8中的JSON:API或Drupal 7中的RETSTful Web服务),也有可能触发该漏洞。

Drupal发布的Drupal 8.6.10和8.5.11已解决了这个漏洞。Drupal 7暂时不需要更新,但专家指出貌似也存在潜在的风险。

“如果想立刻拦截此漏洞的攻击,你可以禁用所有Web服务模块,或者禁止Web服务器接受Put/Patch/Post请求”。

“请注意,根据服务器的配置,Web服务可以在多个路径上访问。在Drupal 7上,资源通常可以通过路径以及“q”查询参数的结合进行查询。对于Drupal 8,若前缀为index.php/,路径依然可以正常访问。

Drupal用户最好尽快安装最新版本。

本文由白帽汇整理并翻译,不代表白帽汇任何观点和立场
来源:https://securityaffairs.co/wordpress/81461/hacking/drupal-cve-2019-6340-rce.html
免责声明:文章内容不代表本站立场,本站不对其内容的真实性、完整性、准确性给予任何担保、暗示和承诺,仅供读者参考,文章版权归原作者所有。如本文内容影响到您的合法权益(内容、图片等),请及时联系本站,我们会及时删除处理。查看原文

为您推荐