Drupal 8 远程代码执行漏洞

漏洞描述

Drupal是使用PHP语言编写的开源内容管理框架(CMF),它由内容管理系统(CMS)和PHP开发框架(Framework)共同构成。

Drupal Core存在一个远程代码执行漏洞。该漏洞本质上是由于用户使用Drupal Core RESTful Web Services (rest)时,某些字段类型无法正确清理非格式源中的数据。在某些情况下,这可能导致任意PHP代码执行。此外,我们发现针对该漏洞提出的即时补救措施是不完整的,这可能会导致一种错误的安全感。用户可能会根据官方的说明禁用掉RESTful Web Services 中的POST/PATCH方法,但是事实上GET方法也能在无任何权限的情况下执行远程代码,所以用户必须执行Drupal的最新的安全更新或者禁用RESTful Web Services服务,否则网站依旧处于风险当中。

解决方案

修复建议:

Drupal官方已经在 Drupal 8.6.10以及8.5.11更新了安全补丁,用户可以更新至Drupal 8.6.10或者8.5.11的版本:

Drupal 8.6.10下载地址:https://www.drupal.org/project/drupal/releases/8.6.10

Drupal 8.6.11下载地址:https://www.drupal.org/project/drupal/releases/8.5.11

如果用户不需要使用RESTful Web Services服务,可直接关闭该服务,若只禁用服务中的POST或者PATCH方法,网站依旧处于风险之中。

深信服解决方案:

深信服安全云在漏洞爆发之初,已完成检测更新,对所有用户网站探测,保障用户安全。不清楚自身业务是否存在漏洞的用户,可注册信服云眼账号,获取30天免费安全体验。

注册地址:

http://saas.sangfor.com.cn

深信服下一代防火墙可轻松防御此漏洞, 建议部署深信服下一代防火墙的用户更新至最新的安全防护规则,可轻松抵御此高危风险。

深信服云盾已第一时间从云端自动更新防护规则,云盾用户无需操作,即可轻松、快速防御此高危风险。