Skip to main content
 Web开发网 » 站长学院 » 浏览器插件

关于Drupalcore存在远程代码执行高危漏洞的预警通报

2021年11月03日7110百度已收录

近日,Drupal官方发布了Drupalcore第三方类库TYPO3/PharStreamWrapper存在反序列化保护机制可被绕过导致远程代码执行的漏洞的公告。该漏洞编号:CVE-2019-11831,安全级别为“高危”。

一、漏洞情况

Drupal是使用PHP语言编写的开源内容管理框架(CMF),它由内容管理系统(CMS)和PHP开发框架(Framework)共同构成。连续多年荣获全球最佳CMS大奖,是基于PHP语言最著名的WEB应用程序。

Drupalcore7.x、8.x版本的依赖库组件PharStreamWrapper针对反序列化保护的拦截器可能被绕过,恶意攻击者通过构造含有恶意代码的Phar文件实现代码执行效果,从而影响到业务系统的安全性。此漏洞为远程代码执行漏洞,基于全球使用该产品用户的数量,恶意攻击者可能会开发针对该漏洞的自动化攻击程序,实现漏洞利用成功后植入后门程序,并进一步释放矿工程序或是DDOS僵尸木马等恶意程序,从而影响到网站服务的正常提供。

二、影响范围

Drupal7.x版本、Drupal8.6.x版本、Drupal8.7.x版本。

三、处置建议

Drupal官方已发布补丁链接予以修复漏洞,请广大用户及时进行更新。

附件:补丁链接:

评论列表暂无评论
发表评论
微信