发现3个流行的Drupal模块易受攻击而发布补丁

以下是三个独立的Drupal模块，可影响多达10000个网站：

1.RESTful Web服务– 一个用于创建REST API的流行模块，目前已安装在至少5804个网站上。

RESTWS中的漏洞改变了实体的默认页面回调以提供额外功能，允许攻击者“发送巧尽心思构建的请求，导致任意PHP执行”

由于匿名用户可以利用此漏洞，并且没有任何缓解因素，建议用户尽快修补其网站。

使用RESTful Web服务版本7的管理员.x-2.7点之前的x.x-2.6和版本7.x-1.7点之前的x。他们的Drupal网站受到影响，建议升级到最新的RESTful Web服务版本。

2.编码员– 用于代码分析的模块，目前安装在至少4951个站点上。

编码器模块中存在该漏洞，无法正确验证具有PHP扩展名的脚本文件中的用户输入，从而允许恶意未经授权的用户直接向该文件发出请求，以执行任意代码。

要利用该漏洞，甚至不需要启用编码器模块。文件系统中存在该模块，并且可以从Web访问该模块，这足以让攻击者利用该漏洞进行攻击。

编码器模块版本7.x-1.7点之前的x.x-1.3和版本7.x-2.7点之前的x.x-2.6受到影响。管理员使用Drupal 7的编码器模块.x应该升级到最新版本。

3.网络表单多文件上传– 用于从网站访问者收集文件的模块，目前至少安装在3076个网站上。

Webform多文件上传模块包含一个远程代码执行漏洞，攻击者可以使用一些精心编制的请求完全接管任何受影响的站点。

任何网站访问者都有可能利用此漏洞在网站上进行多次恶意操作，包括完全接管网站和服务器。

此漏洞存在于Webform Multiple File Upload（Webform_multifile）模块版本7中.x-1.并在最新的Webform多文件上传版本7中修复.x-1.4。