发现第三个关键Drupal缺陷，立即修补你的网站

是的，当然再次，这是过去30天里的第三次。

正如两天前所通知的那样，Drupal现在发布了新版本的软件，以修补另一个影响Drupal 7和8核心的关键远程代码执行（RCE）漏洞。

Drupal是一种流行的开源内容管理系统软件，为数百万个网站提供了强大的支持。不幸的是，自从一个高度关键的远程代码执行漏洞被披露后，CMS一直受到主动攻击。
新的漏洞是在探索之前披露的RCE漏洞时发现的，该漏洞名为Drupalgeddon2（CVE-2018-7600）在3月28日进行了修补，迫使Drupal团队发布了此后续补丁更新。

根据该团队发布的一项新建议，新的远程代码执行漏洞（CVE-2018-7602）也可能允许攻击者完全接管易受攻击的网站。

如何修补Drupal漏洞

由于之前披露的漏洞引起了广泛关注，并促使攻击者以运行Drupal的网站为目标，该公司已敦促所有网站管理员尽快安装新的安全补丁。

• 如果你正在跑步7.x、 升级至Drupal 7.59
• 如果你正在运行8.5.x、 升级到Drupal 8.5.3
• 如果你正在运行8.4.x、 它不再受支持，您需要首先将站点更新为8.4.8版本，然后尽快安装最新的8.5.3版本。

还应该注意的是，只有当您的站点已经应用了Drupalgeddon2漏洞的补丁时，新补丁才会起作用。

drupal的一位发言人告诉《黑客新闻》：“我们不知道有任何针对新漏洞的活跃攻击”。“此外，新的漏洞更复杂，难以串成一个漏洞”。

该缺陷的技术细节，可以命名为Drupalgeddon3，但这并不意味着你可以等到第二天早上更新你的网站，相信它不会受到攻击。
我们已经看到，攻击者是如何利用Drupalgeddon2漏洞，在详细信息公开后的几个小时内，将加密货币矿工、后门和其他恶意软件注入网站的。

除了这两个缺陷外，该团队上周还修补了一个中度严重的跨站点脚本（XSS）漏洞，该漏洞可能使远程攻击者能够发起包括cookie盗窃、密钥记录、网络钓鱼和身份盗窃在内的高级攻击。

因此，强烈建议Drupal网站管理员尽快更新他们的网站。