ce安全网绿色资源分享

教程资讯|常用软件|安卓下载|下载排行|最近更新

软件
软件
文章
当前位置:首页网络安全网络安全新闻 → 黑客发布Drupal内容管理系统(CMS)验证(PoC)利用漏洞 Drupalgeddon2

黑客发布Drupal内容管理系统(CMS)验证(PoC)利用漏洞 Drupalgeddon2

时间:2018-04-14 00:00:00人气:作者:本站作者我要评论

Drupal开发人员推出了一项更新,以解决CVE-2018-7600,这是一个非常关键的远程代码执行缺陷,可用于充分控制网站。安全漏洞影响Drupal 6,7和8,并且针对每个受影响版本都发布了修补程序 - 自2016年2月起不再支持Drupal 6,但仍创建了修补程序。

黑客发布Drupal内容管理系统(CMS)验证(PoC)利用漏洞 Drupalgeddon2

当时的专家警告说,开发这种被称为Drupalgeddon2的漏洞即将发生。然而,概念验证(PoC)漏洞利用大约需要两周时间才能公开发布。

Dofinity的Check Point和Drupal专家的研究人员共同发现了这个漏洞,并在周四发布了详细的技术分析。

“简而言之,Drupal在Form API(FAPI)AJAX请求方面的输入环境不足,”他们在Check Point博客的一篇文章中解释道。“因此,这使得攻击者可能将恶意有效载荷注入内部表单结构。这会导致Drupal在没有用户认证的情况下执行它。通过利用此漏洞,攻击者可以对任何Drupal客户进行全面的网站收购。“

Check Point和Dofinity发表了他们的分析后不久,Vitalii Rudnykh 在GitHub上发布了一个PoC,用于“教育或信息目的”,其他人证实其功能。一旦PoC公布,Sucuri和SANS互联网风暴中心开始尝试利用Drupalgeddon2。

在撰写本文时,没有任何有关通过CVE-2018-7600攻击网站的报告。攻击者显然是扫描网络搜索易受攻击的服务器。SANS研究人员发现的有效载荷使用简单的命令,例如echo,phpinfo,whoami和touch。

包括Cloudflare的Web应用防火墙(WAF)在内的Web安全服务应该能够阻止利用此漏洞的攻击。

ISC经理凯文利斯顿说:“漏洞尝试目前正以相当快的速度增长。Sucuri创始人兼首席技术官Daniel Cid也警告说,利用尝试次数预计会增加。

2014年10月披露的原始Drupalgeddon漏洞在补丁发布7小时后首次被利用,并且网络犯罪分子至少再用了两年时间。

相关文章

猜你喜欢

  • Ougishi绿色版下载 V4.00 中文版

    2020-06-19 / 561k

  • 谷歌地图下载助手睿智版破解下载 V9.5绿色版

    2020-06-19 / 32.7M

  • OfficeFIX中文破解版V6.110 注册版

    2020-06-19 / 26.8M

  • Plotagraph破解版V1.2.0 免费版 32/64位

    2020-06-19 / 31.5M

  • IP查详细地址工具下载 V1.1 官方免费版

    2020-06-19 / 408K

  • 内存扫把中文版下载V1.97绿色版

    2020-06-19 / 1.3M

网友评论

验证码:

请自觉遵守互联网相关政策法规,评论内容只代表网友观点,与本站立场无关!

最新评论

已有人参与,点击查看更多精彩评论

关于CE安全网 | 联系方式 | 发展历程 | 版权声明 | 下载帮助(?) | 广告联系 | 网站地图 | 友情链接

Copyright 2019-2029 cesafe.com 【CE安全网】 版权所有 蜀ICP备19039426号-2| 蜀ICP备19039426号-2

声明: 本站为非赢利性网站 不接受任何赞助和广告 所有软件和文章来自互联网 如有异议 请与本站联系 技术支持:ce安全网