Drupal v8.2.7发布,修复了多个CMS漏洞

Drupal v8.2.7发布,修复了多个CMS漏洞

黑客资讯访客2021-10-11 20:29:0012351A+A-

Drupal开发团队发布了Drupal 8.2.7版本,解决了流行CMS中的一系列的漏洞。漏洞列表包括访问绕过问题,跨站点请求伪造(CSRF)漏洞和远程代码执行的问题。

其中最严重的漏洞是编号为CVE-2017-6377访问绕过漏洞,影响了CMS的编辑器模块。

“当通过配置的文本编辑器(如CKEditor)添加专用文件时,编辑器将无法正确检查被附加的文件的访问,导致访问绕过” Drupal安全公告描述到。

另一个中度严重的漏洞是编号为CVE-2017-6379的CSRF漏洞。攻击者能够利用这个漏洞通过已知的区块ID来禁用网站的某些区块。

在列表中,我们还发现了一个中度危险的CVE-2017-6381远程代码执行漏洞。 RCE漏洞CVE-2017-6381会影响第三方开发库和依赖程序的开发。

好消息是,Drupal Composer依赖项通常不会安装,并且默认执行.htaccess中的php保护。

为了提高Drupal安装的安全性,Drupal v8.2.7包括了phpunit开发依赖的安全更新。 基本上,新版本中的Drupal核心需要最安全的phpunit版本。

更新Drupal版本是很必要的,CMS是黑客的特权目标,试图利用在线可用的漏洞代码来发现已知的漏洞。过时的版本会暴露网站使其用户有网络攻击的风险。

关于Drupal

Drupal是一个开源的内容管理系统(CMS)平台,用于构造提供多种功能和服务的动态网站,这些功能包括用户管理(User Administration)、发布工作流(Publishing Workflow)、讨论、新闻聚合(News Aggregation)、元数据(Metadata)操作和用于内容共享的XML发布。它综合了强大并可自由配置的功能,能支持从个人博客 (Personal Weblog)到大型社区驱动(Community-Driven)的网站等各种不同应用的网站项目。

原文:http://securityaffairs.co/wordpress/57192/hacking/drupal-version-8-2-7.html

点击这里复制本文地址 以上内容由黑资讯整理呈现,请务必在转载分享时注明本文地址!如对内容有疑问,请联系我们,谢谢!
  • 1条评论
  • 青迟冂马2022-06-10 04:55:35
  • 全更新。 基本上,新版本中的Drupal核心需要最安全的phpunit版本。更新Drupal版本是很必要的,CMS是黑客的特权目标,试图利用在线可用的漏洞代码来发现已知的漏洞。过时的版本会暴露网站使其用户有网络攻击的风险。关于DrupalDrupal是一个开源的内容管理系统(CMS)平台,用于构

支持Ctrl+Enter提交

黑资讯 © All Rights Reserved.  
Copyright Copyright 2015-2020 黑资讯
滇ICP备19002590号-1
Powered by 黑客资讯 Themes by 如有不合适之处联系我们
网站地图| 发展历程| 留言建议| 网站管理