站长们注意啦!开源CMS Drupal 8发布更新修复多处高危漏洞补丁,提示您升级

本文涉及的产品
Web应用防火墙 3.0,每月20元额度 3个月
云安全中心 免费版,不限时长
云安全中心 防病毒版,最高20核 3个月
简介:

据外媒报道, Drupal 研究人员于 8 月 16 日发布安全报告,宣称已修复 Drupal 8 多处漏洞并在线更新安全补丁。研究显示这些漏洞影响 Drupal 8 多个系统组件,包括实体访问系统、REST API 与部分视图组件。

  • CVE-2017-6925

研究人员发现 Drupal 8.3.7 中存在一处高危漏洞(CVE-2017-6925),影响实体访问系统,允许攻击者查看、创建、删除或更新实体。不过,该漏洞仅影响不具备 UUID 实体,以及对同一实体不同版本有多种访问限制的实体系统。

  • CVE-2017-6924

在 Drupal 8 中存在另一绕过访问权限的关键漏洞(CVE-2017-6924),即当无访问权限的任何用户驻留在 REST API 时,允许通过 REST 发布评论。目前,此漏洞已被评估为高危漏洞,因为它影响具有 RESTful Web 服务模块与启用注释实体 REST 资源的站点。

  • CVE-2017-6923

在 Drupal 8 中还存在另一关键漏洞(CVE-2017-6923)影响视图组件。当用户创建视图时,可以选择使用 Ajax 通过过滤器参数更新数据。不过,视图子模块仅对配置为 Ajax 的视图进行访问。如果用户对视图具有访问限制,那么可以减轻系统损失,即使用户正使用另一模块显示。

目前,Drupal 官方安全研究人员建议用户尽快全盘检测系统并将 Drupal 升级至最新版本。
点击可查看Drupal官方公告详情

受影响版本:

Drupal core 8.x 版本和 8.3.7之前的版本

安全版本:

Drupal 7 core不受影响

安全方案:

阿里云安全团队建议使用了Drupal 8的用户关注并及时更新到官方最新版8.3.7

情报来源:

HackerNews:http://hackernews.cc/archives/13634

相关文章
|
开发框架 安全 .NET
常用Webshell管理工具上线利用方式
常用Webshell管理工具上线利用方式
190 0
|
前端开发 API PHP
MyCms 自媒体 CMS 系统 v2.5,后台一键升级更新
MyCms是一款基于Laravel开发的开源免费的自媒体博客CMS系统,助力开发者知识技能变现。
183 0
MyCms 自媒体 CMS 系统 v2.5,后台一键升级更新
|
SQL 弹性计算 安全
WordPress4.9 最新版本网站安全漏洞详情与修复
wordpress 目前互联网的市场占有率较高,许多站长以及建站公司都在使用这套开源的博客建站系统来设计网站,wordpress的优化以及html静态化,深受google以及搜索引擎的喜欢,全世界大约有着百分之28的网站都在使用这套系统,国外,外贸网站,个人博客使用的最多。
271 0
WordPress4.9 最新版本网站安全漏洞详情与修复
|
SQL 安全 前端开发
ecshop 漏洞如何修复 补丁升级与安全修复详情
目前ecshop漏洞大面积爆发,包括最新版的ecshop 3.0,ecshop 4.0,ecshop2.7.3全系列版本都存在着高危网站漏洞,导致网站被黑,被篡改,被挂马,许多商城系统深受其漏洞的攻击,给商城的运营者以及网站运营者带来很大的经济损失,甚至有些ecshop还被跳转到了一些恶意网站上去。那么ecshop漏洞如何修复呢?
242 0
ecshop 漏洞如何修复 补丁升级与安全修复详情
|
安全 Linux PHP
PrestaShop 网站漏洞详情与漏洞修复办法
PrestaShop网站的漏洞越来越多,该网站系统是很多外贸网站在使用的一个开源系统,从之前的1.0初始版本到现在的1.7版本,经历了多次的升级,系统使用的人也越来越多,国内使用该系统的外贸公司也很多,PrestaShop扩展性较高,模板也多,多种货币自由切换,并支持信用卡以及paypal支付,是外贸网站的首选。就在最近几天,PrestaShop被爆出有远程代码注入漏洞,该漏洞影响范围较光,危害较大,可以上传webshell到网站根目录下。
309 0
PrestaShop 网站漏洞详情与漏洞修复办法
|
缓存 安全 测试技术
thinkphp 漏洞修复方案之<6.X版本的代码漏洞案例分析
大年初五,根据我们SINE安全的网站安全监测平台发现,thinkphp官方6.0版本被爆出高危的网站代码漏洞,该漏洞可导致网站被植入网站木马后门文件也叫webshell,具体产生的原因是session ID参数值这里并未对其做详细的安全过滤与校验,导致可以远程修改POST数据包将session的值改为恶意的后门代码,发送到服务器后端并生成PHP文件直接生成,可导致网站被攻击,服务器被入侵,关于该thinkphp漏洞的详情,我们SINE安全来跟大家分析一下。
589 0
thinkphp 漏洞修复方案之<6.X版本的代码漏洞案例分析
|
安全 Windows
微软下周将发布三个补丁 仍有漏洞未修复
3月6日消息,微软下周二将发布三个安全补丁,其中一个将修复Windows操作系统中的一个严重的安全漏洞。 微软称,这三个安全补丁中的一个最严重的补丁修复的那个安全漏洞能够让攻击者利用在运行任何版本的Windows操作系统的受害者的PC上安装恶意软件。
906 0
|
安全
微软紧急发布10个IE补丁 用户应火速升级
3月30日,微软紧急发布MS10-018安全更新,此安全更新可消除9个秘密报告的漏洞以及一个公开披露的漏洞,其中多个漏洞被评级为“危急”。金山卫士安全中心已经在第一时间升级了漏洞特征库,为用户提供相应的漏洞修复服务。
793 0
|
安全 测试技术 PHP
网站漏洞检测与修复之Discuz论坛3.4版本
Discuz!论坛目前最新版本为3.4版本,已经好久没有更新了,我们SINE安全在对其网站安全检测的同时发现一处漏洞,该漏洞可导致论坛的后台文件可以任意的删除,导致网站瘫痪,后台无法登陆。关于该网站漏洞的细节我们来详细的分析看一下: Discuz漏洞的检测与分析 该漏洞发生的位置在于source目录下的admincp文件夹里的admincp_forums.php代码里,我们用note编辑器打开查找到unlink函数调用的地方,就看到漏洞产生的原因了,直接搜索$_get{'replybgnew'],定位到代码。
2238 0
下一篇
oss创建bucket