Drupal发布了核心CMS更新来修补几个漏洞

根据Drupal开发者今天发布的建议，Drupal本月修补的所有安全漏洞都位于Drupal 8.6、Drupal 8.5或更早版本以及Drupal 7中包含的第三方库中。

其中一个安全漏洞是跨站点脚本（XSS）漏洞，该漏洞存在于名为JQuery的第三方插件中。JQuery是最受欢迎的JavaScript库，被数百万网站使用，并且预先集成在Drupal Core中。
上周，JQuery发布了其最新版本JQuery 3.4.0，以修补报告的漏洞，该漏洞尚未分配CVE编号，该漏洞影响到迄今为止该库的所有早期版本。

“jQuery3.4.0包含了对使用jQuery.extend（true，{}，…）时的一些意外行为的修复。如果未初始化的源对象包含可枚举的_proto__属性，则它可以扩展本机对象。“原型，”顾问解释道。

“有些Drupal模块可能会利用此漏洞进行攻击”。

其余三个安全漏洞存在于Drupal Core使用的Symfony PHP组件中，可能导致跨站点脚本（CVE-2019-10909）、远程代码执行（CVE-2019-10910）和身份验证绕过（CVE-2019-1091）攻击。

考虑到Drupal漏洞在黑客中的流行，强烈建议您尽快安装CMS的最新更新：

• 如果您正在使用Drupal 8.6，请更新到Drupal 8.6.15。
• 如果您使用的是Drupal 8.5或更早版本，请更新到Drupal 8.5.15。
• 如果您正在使用Drupal 7，请更新到Drupal 7.66。

大约两个月前，Drupal维护人员修补了Drupal Core中的一个关键RCE漏洞，但没有公布该漏洞的任何技术细节，该漏洞可能会让远程攻击者入侵其客户的网站。
尽管如此，在该团队推出其软件的补丁版本仅仅两天后，该漏洞的概念验证（PoC）攻击代码就在互联网上公开。

然后，一些个人和黑客团体开始积极利用该漏洞在易受攻击的Drupal网站上安装加密货币矿工，这些网站没有将CMSE更新到最新版本。

去年，攻击者还利用两个独立的关键远程代码执行漏洞（称为Drupalgeddon2和Drupalgeddon3）对数十万Drupal网站进行大规模攻击。

在这种情况下，这两个漏洞的PoC攻击代码在互联网上发布后不久，攻击就开始了，随后进行了大规模的互联网扫描和攻击尝试。

长话短说，在为时已晚之前修补你的网站。