Drupal v8.2.7发布，修复了多个CMS漏洞

Drupal开发团队发布了Drupal 8.2.7版本，解决了流行CMS中的一系列的漏洞。漏洞列表包括访问绕过问题，跨站点请求伪造（CSRF）漏洞和远程代码执行的问题。

其中最严重的漏洞是编号为CVE-2017-6377访问绕过漏洞，影响了CMS的编辑器模块。

“当通过配置的文本编辑器（如CKEditor）添加专用文件时，编辑器将无法正确检查被附加的文件的访问，导致访问绕过” Drupal安全公告描述到。

另一个中度严重的漏洞是编号为CVE-2017-6379的CSRF漏洞。攻击者能够利用这个漏洞通过已知的区块ID来禁用网站的某些区块。

在列表中，我们还发现了一个中度危险的CVE-2017-6381远程代码执行漏洞。 RCE漏洞CVE-2017-6381会影响第三方开发库和依赖程序的开发。

好消息是，Drupal Composer依赖项通常不会安装，并且默认执行.htaccess中的php保护。

为了提高Drupal安装的安全性，Drupal v8.2.7包括了phpunit开发依赖的安全更新。 基本上，新版本中的Drupal核心需要最安全的phpunit版本。

更新Drupal版本是很必要的，CMS是黑客的特权目标，试图利用在线可用的漏洞代码来发现已知的漏洞。过时的版本会暴露网站使其用户有网络攻击的风险。

关于Drupal

Drupal是一个开源的内容管理系统(CMS)平台，用于构造提供多种功能和服务的动态网站，这些功能包括用户管理(User Administration)、发布工作流(Publishing Workflow)、讨论、新闻聚合(News Aggregation)、元数据(Metadata)操作和用于内容共享的XML发布。它综合了强大并可自由配置的功能，能支持从个人博客 (Personal Weblog)到大型社区驱动(Community-Driven)的网站等各种不同应用的网站项目。

原文：http://securityaffairs.co/wordpress/57192/hacking/drupal-version-8-2-7.html