Drupal中的另一个关键缺陷被发现，尽快更新你的网站！

两天前，Drupal安全团队发布了即将发布的修补程序的预先安全通知，让网站管理员提前做好准备，在黑客滥用漏洞之前修复网站。

Drupal安全团队表示，该漏洞是Drupal Core中的一个关键远程代码执行（RCE）漏洞，可能“在某些情况下导致任意PHP代码执行”。

虽然Drupal团队尚未发布该漏洞（CVE-2019-6340）的任何技术细节，但提到该漏洞的存在是因为某些字段类型没有正确清理来自非表单源的数据，并影响Drupal 7和8 Core。

还应该注意的是，只有当RESTful Web服务（rest）模块启用并允许补丁或POST请求，或者它启用了另一个Web服务模块时，基于Drupal的网站才会受到影响。

如果无法立即安装最新更新，则可以通过简单地禁用所有web服务模块，或将web服务器配置为不允许对web服务资源发出PUT/PATCH/POST请求，来缓解该漏洞。

“请注意，根据服务器的配置，web服务资源可能在多个路径上可用，”Drupal在周三发布的安全建议中警告说。

例如，对于Drupal 7，资源通常可以通过路径（干净的URL）和“q”查询参数的参数获得。对于Drupal 8，路径在前缀为index.php/时仍然可以使用

然而，考虑到Drupal漏洞在黑客中的流行，强烈建议您安装最新的更新：

• 如果您使用的是Drupal 8.6。x、 将您的网站升级到Drupal 8.6.10。
• 如果您使用的是Drupal 8.5。x或更早版本，将您的网站升级到Drupal 8.5.11

Drupal还表示，Drupal 7服务模块本身不需要在此时更新，但如果使用“服务”，用户仍然应该考虑应用与最新咨询相关联的其他贡献更新。

Drupal认为安全团队的Samuel Mortenson发现并报告了该漏洞。