Drupal Core中发现的另一个关键缺陷，立即修补你的网站

是时候再次更新Drupal网站了。

Drupal安全团队发现，开源内容管理框架容易受到第三方插件中存在的跨站点脚本（XSS）漏洞的攻击编辑它预先集成在Drupal core中，帮助网站管理员和用户创建交互式内容。
CKEditor是一个流行的基于JavaScript的所见即所得富文本编辑器，许多网站都在使用它，并且预装了一些流行的web项目。

根据CKEditor发布的安全建议，XSS漏洞源于对img“标记适用于CKEditor 4.5.11及更高版本的增强图像插件。
这可能会让攻击者在受害者的浏览器中执行任意HTML和JavaScript代码，并获取敏感信息的访问权限。

增强图像插件是在CKEditor 4.3中引入的，它支持使用编辑器将图像插入内容的高级方式。

Drupal安全团队表示：“该漏洞源于这样一个事实，即当使用image2插件（Drupal 8 core也使用该插件）时，可以在CKEditor内部执行XSS”。

CKEditor已通过发布CKEditor版本4.9.2修补了该漏洞，Drupal安全团队也通过发布Drupal版本8.5.2和Drupal 8.4.7在CMS中修补了该漏洞。

自从Drupal 7中的CKEditor插件以来。x配置为从CDN服务器加载，它不受该漏洞的影响。

但是，如果您手动安装了CKEditor插件，建议您从其官网下载并升级插件至最新版本。

Drupal最近修补了另一个名为Drupalgeddon2的严重漏洞，这是一个远程代码执行漏洞，允许未经验证的远程攻击者以用户权限在默认或常见Drupal安装上执行恶意代码，影响6到8个版本的Drupal。

然而，由于人们懒得及时修补自己的系统和网站，黑客发现Drupalgeddon2漏洞在野生环境中被黑客利用，以提供加密货币矿工、后门和其他恶意软件。

因此，强烈建议用户始终认真对待安全建议，并使其系统和软件保持最新，以避免成为任何网络攻击的受害者。