國家信息安全漏洞庫(cnnvd)收到關于drupal core遠程代碼執(zhí)行漏洞(cnnvd-201804-1490、cve-2018-7602)情況的報送。成功利用此漏洞的攻擊者可以對目標系統(tǒng)進行遠程代碼執(zhí)行攻擊。drupal的7.x版和8.x版等多個版本均受此漏洞影響。目前,該漏洞的部分漏洞驗證代碼已在互聯(lián)網(wǎng)上公開,且drupal官方已經(jīng)發(fā)布補丁修復了該漏洞,建議用戶及時確認是否受到漏洞影響,盡快采取修補措施。
一、漏洞介紹
Drupal是Drupal社區(qū)所維護的一套用PHP語言開發(fā)的免費、開源的內(nèi)容管理框架,它由內(nèi)容管理系統(tǒng)(CMS)和PHP開發(fā)框架(Framework)共同構成。
Drupal Core遠程代碼執(zhí)行漏洞(CNNVD-201804-1490、CVE-2018-7602),該漏洞與之前2018年3月的Drupal Core遠程代碼執(zhí)行漏洞(CNNVD-201803-1136 、CVE-2018-7600)相關,漏洞源于Drupal官方對該漏洞修復不完全,導致補丁可以被繞過,從而實現(xiàn)遠程代碼執(zhí)行。
二、危害影響
成功利用此漏洞的攻擊者可以對目標系統(tǒng)進行遠程代碼執(zhí)行攻擊。近期有較大可能會利用互聯(lián)網(wǎng)上公開的該漏洞的部分驗證代碼。受漏洞影響版本如下:
Drupal的7.x版、Drupal的8.x版。
三、修復建議
目前,Drupal官方已經(jīng)發(fā)布補丁修復了該漏洞,請用戶及時檢查產(chǎn)品版本,如確認受到漏洞影響,請盡快按以下措施進行防護。
1、 升級Drupal版本:
Drupal 7.x請升級到Drupal 7.59版本。
Drupal 8.4.x版本請升級到8.4.8版本
Drupal 8.5.x請升級到Drupal 8.5.3版本。
2、?若用戶無法立即升級版本,請更新補丁,補丁地址為:
| 版本 | 補丁地址 |
|---|---|
| 7.X版本 | https://cgit.drupalcode.org/drupal/rawdiff/?h=7.x&id=080daa38f265ea28444c540832509a48861587d0 |
| Drupal 8. x | https://cgit.drupalcode.org/drupal/rawdiff/?h=8.5.x&id=bb6d396609600d1169da29456ba3db59abae4b7e |
