最近百度安全指数平台又发布了一篇关于Drupal安全漏洞的文章。今天,肖凯seo博客转载了它,并与朋友分享。在了解Drupal的安全漏洞描述和解决方案之前,首先要和朋友普及一下Drupal。
Drupal是一个用PHP语言编写的开源内容管理框架(CMF),由内容管理系统(CMS)和PHP开发框架组成。它多年来获得了世界最佳内容管理系统奖,是最著名的基于PHP语言的WEB应用。截至2011年底,共有13,802名网络专家参与了Drupal的开发。228个国家的181种语言的729,791名网站设计师使用Drupal。著名案例有:联合国、白宫、商务部、纽约时报、华纳、迪士尼、联邦快递、索尼、哈佛大学、Ubuntu等。(百度百科)
漏洞描述
Drupal是用PHP语言编写的开源内容管理框架(CMF),由内容管理系统(CMS)和PHP开发框架组成。它多年来获得了世界最佳内容管理系统奖,是最著名的基于PHP语言的WEB应用。
2017年6月21日,Drupal正式发布8.3.4和7.56版本,修复了几个安全漏洞。包括:
CVE-2017-6920
DrupalCore的YAML解析器处理不当,导致远程代码执行漏洞。
等级:高风险
影响版本:8.x到8.3.4
CVE-2017-6921
RESTful服务,存在不正当验证。允许攻击者在注册帐户后上传和编辑文件。
等级:高风险
影响版本:8.x到8.3.4
CVE-2017-6922
匿名用户可以访问另一个匿名用户上传到非公共文件夹的文件。
等级:中等风险
受影响版本:7.x到7.56,8.x到8.3.4
修复建议
1。用7.x的网站升级到7.56,用8.x的网站升级到8 . 3 . 4;
2、使用百度云加速WAF防火墙进行防御;
3。将网站添加到安全索引中,及时知道网站组件burst /0day漏洞。
了解更多
https://www.drupal.org/SA-CORE-2017-003
59
59
59
59
59
59
59
59
59
59