Drupal CMS修复版本7和版本8中的几个漏洞 包括RCE漏洞

  • A+
所属分类:网络安全新闻

Drupal CMS修复版本7和版本8中的几个漏洞 包括RCE漏洞

Drupal内容管理系统的开发团队解决了版本7和版本8中的多个漏洞,包括一些可用于远程代码执行的漏洞。

Drupal团队修复了一个存在于ContextualLinks模块中的关键漏洞,该漏洞无法正确验证请求的上下文链接。该攻击者可以使用具有访问上下文链接权限的帐户利用该漏洞进行远程执行代码,

ContextualLinks模块无法充分验证所请求的上下文链接。阅读安全公告。
攻击者必须拥有具有访问上下文链接权限的角色这一事实可以缓解此漏洞。

开发团队修复的另一个关键漏洞是注入问题,它存在于DefaultMailSystem::mail()函数中。该错误的根本原因是在发送电子邮件时缺少对shell参数的一些变量的清理。

当发送电子邮件时,一些变量没有针对shell参数进行清理,这可能导致远程代码执行。该公告继续说道。

CMS中解决的其余漏洞已被分配了中等关键评级,其中包括一些打开的重定向错误以及与内容审核相关的访问绕过问题。

Drupal7.60,8.6.2和8.5.8的发布解决了这些漏洞。

Drupal团队敦促用户尽快安装安全更新,存在威胁演员在大规模黑客攻击活动中开始利用漏洞的具体风险。

  • 服务器购买微信群
  • 阿里云&腾讯云&国外VPS
  • weinxin
  • 服务器购买QQ群
  • 阿里云&腾讯云&国外VPS
  • weinxin
CE安全网

发表评论

您必须登录才能发表评论!