CVE-2018-14773 Symfony HttpFoundation组件漏洞 黑客可完全控制Drupal网站

Symfony HttpFoundation组件中的漏洞被追踪为CVE-2018-14773，可被攻击者利用来完全控制受影响的Drupal网站。

Drupal的维护人员通过发布新版本的流行内容管理系统8.5.6版来解决安全绕过漏洞。

“Drupal项目使用Symfony库。Symfony库发布了一个影响Drupal的安全更新。有关该问题，请参阅 Symfony安全通报。Drupal核心中包含的Zend Feed和 Diactoros 库中也存在相同的漏洞; 但是，Drupal核心并没有使用易受攻击的功能。“阅读Drupal发布的咨询报告。

“如果您的站点或模块直接使用Zend Feed或 Diactoros ，请 阅读Zend Framework安全建议 并根据需要进行更新或修补。”

Symfony HttpFoundation组件是Drupal Core中使用的第三方库，该缺陷会影响8.5.6之前的Drupal 8.x版本。

Symfony是许多项目正在使用的Web应用程序框架，这意味着CVE-2018-14773漏洞可能会影响大量Web应用程序。

该缺陷是由于Symfony支持遗留和危险的HTTP标头。

“支持（遗留）IIS标头，允许用户通过X-Original-URL或X-Rewrite-URL HTTP请求标头覆盖请求URL中的路径，允许用户访问一个URL但让Symfony返回另一个URL可以绕过对更高级别缓存和Web服务器的限制。“阅读Symfony发布的安全公告。

“该修复程序删除了对这两个过时的IIS头文件的支持：X-Original-URL和X_REWRITE_URL。”阅读安全公告发布的Symfony。

远程攻击可以通过使用特制的“X-Original-URL”或“X-Rewrite-URL”HTTP标头值来触发该缺陷。

根据Symfony发布的安全公告，版本2.7.49,2.8.44,3.3.18,3.4.14,4.0.14和4.1.3解决了这个漏洞。

Drupal维护者也发现了一个类似的问题

影响了Drupal Core中使用的  Zend Feed  和 Diactoros 库。这些库受到“URL重写漏洞”的影响，无论如何，Drupal团队确认  Drupal Core不使用易受攻击的功能。

使用Zend Feed或Diactoros的网站的管理员需要尽快修补它们。

在黑客开始利用CVE-2018-14773漏洞之前，Drupal管理员需要紧急修补他们的安装。