Drupal 17日发布更新SA-CORE-2018-006
Drupal于17日发布安全更新SA-CORE-2018-006,升级至8.6.2版本,修复了5个安全漏洞,其中2个为RCE漏洞。该补丁适用版本为7.x与8.x。其中两个高危漏洞均为RCE漏洞。
Drupal 7/8存在注入漏洞
在Drupal的DefaultMailSystem::mail()中存在注入,可导致远程代码执行。
漏洞产生于未经校验的$message[‘headers’][‘Return-Path’]传入mail函数的第五个参数extra中,造成执行mail函数时的远程代码执行。
Drupal 8 Contextual Links验证漏洞
Contextual Links模块验证请求链接时出现问题导致远程代码执行,不过需要攻击者拥有访问Contextual Links权限,因此利用情景较为有限。
缓解措施
Drupal 7.x相关用户,可升级至7.60。
Drupal 8.6.x相关用户,可升级至8.6.2。
Drupal 8.5.x相关用户,可升级至8.5.8。
发表评论
您还未登录,请先登录。
登录