返回
多御红包活动

Drupal发布了核心CMS更新来修补几个漏洞

发布时间:2022-11-28 03:34:48 47
# 技术# 软件# 黑客# 补丁# 扫描
drupal security updates


根据Drupal开发者今天发布的建议,Drupal本月修补的所有安全漏洞都位于Drupal 8.6、Drupal 8.5或更早版本以及Drupal 7中包含的第三方库中。

其中一个安全漏洞是跨站点脚本(XSS)漏洞,该漏洞存在于名为JQuery的第三方插件中。JQuery是最受欢迎的JavaScript库,被数百万网站使用,并且预先集成在Drupal Core中。
 
上周,JQuery发布了其最新版本JQuery 3.4.0,以修补报告的漏洞,该漏洞尚未分配CVE编号,该漏洞影响到迄今为止该库的所有早期版本。
“jQuery3.4.0包含了对使用jQuery.extend(true,{},…)时的一些意外行为的修复。如果未初始化的源对象包含可枚举的_proto__属性,则它可以扩展本机对象。“原型,”顾问解释道。

“有些Drupal模块可能会利用此漏洞进行攻击”。
其余三个安全漏洞存在于Drupal Core使用的Symfony PHP组件中,可能导致跨站点脚本(CVE-2019-10909)、远程代码执行(CVE-2019-10910)和身份验证绕过(CVE-2019-1091)攻击。

考虑到Drupal漏洞在黑客中的流行,强烈建议您尽快安装CMS的最新更新:
  • 如果您正在使用Drupal 8.6,请更新到Drupal 8.6.15。
  • 如果您使用的是Drupal 8.5或更早版本,请更新到Drupal 8.5.15。
  • 如果您正在使用Drupal 7,请更新到Drupal 7.66。
大约两个月前,Drupal维护人员修补了Drupal Core中的一个关键RCE漏洞,但没有公布该漏洞的任何技术细节,该漏洞可能会让远程攻击者入侵其客户的网站。
 
尽管如此,在该团队推出其软件的补丁版本仅仅两天后,该漏洞的概念验证(PoC)攻击代码就在互联网上公开。

然后,一些个人和黑客团体开始积极利用该漏洞在易受攻击的Drupal网站上安装加密货币矿工,这些网站没有将CMSE更新到最新版本。

去年,攻击者还利用两个独立的关键远程代码执行漏洞(称为Drupalgeddon2和Drupalgeddon3)对数十万Drupal网站进行大规模攻击。

在这种情况下,这两个漏洞的PoC攻击代码在互联网上发布后不久,攻击就开始了,随后进行了大规模的互联网扫描和攻击尝试。

长话短说,在为时已晚之前修补你的网站。

 

特别声明:以上内容(图片及文字)均为互联网收集或者用户上传发布,本站仅提供信息存储服务!如有侵权或有涉及法律问题请联系我们。
举报
评论区(0)
按点赞数排序
用户头像
精选文章
thumb 中国研究员首次曝光美国国安局顶级后门—“方程式组织”
thumb 俄乌线上战争,网络攻击弥漫着数字硝烟
thumb 从网络安全角度了解俄罗斯入侵乌克兰的相关事件时间线