Symfony漏洞使Drupal网站容易受到黑客攻击

是时候更新你的Drupal网站了。

流行的开源内容管理系统Drupal发布了新版本的软件，以修补一个安全绕过漏洞，该漏洞可能让远程攻击者控制受影响的网站。

Symfony HttpFoundation组件，在Drupal Core中使用，影响Drupal 8。8.5.6之前的x版本。

自Symfony—；一个包含一组PHP组件的web应用程序框架—；许多项目都在使用该漏洞，该漏洞可能会使许多web应用程序面临黑客攻击的风险。

Symfony组件漏洞

根据Symfony发布的一条建议，安全绕过漏洞源于Symfony对遗留和高风险HTTP头的支持。

Symfony说：“支持（遗留）IIS头，允许用户通过X-Original-URL或X-Rewrite-URL HTTP请求头覆盖请求URL中的路径，允许用户访问一个URL，但让Symfony返回另一个URL，这可以绕过对更高级别缓存和web服务器的限制。”。

远程攻击可以利用精心编制的“X-Original-URL”或“X-Rewrite-URL”HTTP头值对其进行攻击，这会覆盖请求URL中的路径，从而可能绕过访问限制，并导致目标系统呈现不同的URL。

Symfony版本2.7.49、2.8.44、3.3.18、3.4.14、4.0.14和4.1.3已经修复了该漏洞，Drupal在其最新版本8.5.6中修补了该问题。

Ze

nd框架中也存在同样的缺陷除了Symfony，Drupal团队还发现，Drupal Core中包含的Zend Feed和Diactoros库中也存在类似的漏洞，他们将其命名为“URL重写漏洞”

然而，广受欢迎的CMS称Drupal Core不使用易受攻击的功能，但建议用户在其网站或模块直接使用Zend Feed或Diactoros的情况下修补其your网站。

Drupal为数以百万计的网站提供了强大的支持，不幸的是，CMS最近在一个名为Drupalgeddon2的高度关键远程代码执行漏洞被披露后，一直受到积极的攻击。

因此，在黑客开始利用新漏洞控制你的网站之前，强烈建议你尽快更新你的网站。