Drupal Core SA-CORE-2018-006 mail() 函数代码注入漏洞分析
近日,Drupal官方发布安全通告修复了多个安全性问题,其中包括2个严重的远程代码执行漏洞,影响Drupal 7和8的多个版本。其中一个漏洞源于在发送emai时,一些变量没有进行适当的处理就传给了shell执行,因此可能导致远程代码执行。
近日,Drupal官方发布安全通告修复了多个安全性问题,其中包括2个严重的远程代码执行漏洞,影响Drupal 7和8的多个版本。其中一个漏洞源于在发送emai时,一些变量没有进行适当的处理就传给了shell执行,因此可能导致远程代码执行。
Drupal官方在2018年3月28日发布sa-core-2018-002 (CVE-2018-7600) Drupal内核远程代码执行漏洞预警,之后一个月内又连续发布两个漏洞,其中包含一个XSS和另一个高危代码执行漏洞sa-core-2018-004 (CVE-2018-7602),此后两个月内互联网上针对Drupal程序的攻击非常频繁,绿盟科技威胁情报中心(NTI)结合安全情报数据,从漏洞披露到利用程序的传播,总结了外界针对Drupal程序的常见攻击手法,对相关态势进行了梳理,希望可以为安全从业人员提供建议和参考。
近期,著名的Drupal CMS网站爆出7个漏洞,其中1个严重漏洞CVE-2017-6926,具有发表评论权限的用户可以查看他们无权访问的内容和评论,并且还可以为该内容添加评论。绿盟科技于上周发布了《 Drupal下周将发布重要安全补丁威胁预警通告 》。
本篇文章对Drupal 8 – CVE-2017-6926漏洞进行了详细分析。
北京时间3月23日,Drupal官方发布一则声明表示将于当地时间3月28日18:00 – 19:00(北京时间3月29日凌晨2:00 – 3:00)发布重要更新,修复一个严重的安全漏洞,涉及Drupal 7.x, 8.3.x, 8.4.x和8.5.x版本。由于该漏洞十分严重,攻击者能够极快的利用该漏洞进行攻击,因此Drupal安全团队建议用户下周预留出足够的时间完成更新升级,进行防护。