漏洞预警 | Drupal Core SA-CORE-2018-006 多个漏洞(包含RCE漏洞)

阅读量    45196 | 评论 3

分享到: QQ空间 新浪微博 微信 QQ facebook twitter

 

Drupal 17日发布更新SA-CORE-2018-006

Drupal于17日发布安全更新SA-CORE-2018-006,升级至8.6.2版本,修复了5个安全漏洞,其中2个为RCE漏洞。该补丁适用版本为7.x与8.x。其中两个高危漏洞均为RCE漏洞。

 

Drupal 7/8存在注入漏洞

在Drupal的DefaultMailSystem::mail()中存在注入,可导致远程代码执行。

漏洞产生于未经校验的$message[‘headers’][‘Return-Path’]传入mail函数的第五个参数extra中,造成执行mail函数时的远程代码执行。

 

Drupal 8 Contextual Links验证漏洞

Contextual Links模块验证请求链接时出现问题导致远程代码执行,不过需要攻击者拥有访问Contextual Links权限,因此利用情景较为有限。

 

缓解措施

Drupal 7.x相关用户,可升级至7.60。

Drupal 8.6.x相关用户,可升级至8.6.2。

Drupal 8.5.x相关用户,可升级至8.5.8。

 

分享到: QQ空间 新浪微博 微信 QQ facebook twitter
|推荐阅读
|发表评论
|评论列表
加载更多