中新網安安全研究院Drupal核心多處高危漏洞總結報告

2017年8月16日Drupal研究人員發布安全報告,宣稱已修復Drupal8多處漏洞并在線更新安全補丁。由于Drupal強大的定制開發能力,眾多有技術實力的網站建設公司優先選用的網站開發平臺,存在一定的安全風險。建議用戶及時排查并修復該風險。中新網安將對該漏洞進行持續關注,并第一時間為您更新相關漏洞信息。

【漏洞名稱】Drupal核心 - 多處高危漏洞

【風險等級】高危

【影響版本】Drupal core 8.x版本和8.3.7之前的版本

【威脅描述】

  • CVE-2017-6923

當創建視圖時,可以選擇使用Ajax通過過濾器參數更新數據。不過,視圖子??榻齠耘渲夢狝jax的視圖進行訪問。如果用戶對視圖具有訪問限制,那么可以減輕系統損失,即使用戶正使用另一??橄允?。

  • CVE-2017-6924

在Drupal8中存在另一繞過訪問權限的關鍵漏洞,當使用REST API時,沒有正確權限的用戶可以通過即使用戶沒有發布已批準的注釋的權限即可通過已批準的REST發布注釋。目前,此漏洞已被評估為高危漏洞。

  • CVE-2017-6925

實體訪問系統中存在可能允許不必要的訪問來查看、創建、更新或刪除實體的漏洞。這僅影響不使用或不具有UUID的實體,以及對同一實體的不同修訂版具有不同訪問限制的實體。此漏洞已被評估為高危漏洞。

【應對措施】

升級到官方的最新版本Drupal 8.3.7,鏈接如下:

“https://ftp.drupal.org/files/projects/drupal-8.3.7.tar.gz”