受欢迎的Drupal内容管理系统的安全团队与三个第三方模块的维护者合作,修复了可能允许攻击者接管网站的关键漏洞。
缺陷允许攻击者执行与安装的RESTWS,编码器或WEBForm多文件上载模块一起托管Drupal网站的Rogue PHP代码Web服务器。这些模块不是Drupal核心的一部分,但是数千个网站使用。
RETWS模块是一个流行的工具,用于创建REST应用程序编程接口(API),当前安装在5,800多个网站上。未经身份验证的攻击者可以通过向网站发送特殊编制的请求来利用其页面回调功能中的远程执行漏洞。
强烈建议使用没有减轻因素并升级到修复缺陷的模块的最新版本。
编码器是另一个流行的模块,并允许Drupal管理员检查其代码是否针对各种编码标准和最佳实践。它安装在超过4,950个网站上,它也包含一个远程执行漏洞,可以由未经身份验证的攻击者利用。
该模块甚至不需要启用,以便缺陷是可利用的,仅仅在文件系统上的存在足够。
最后,WebForm多文件上传模块允许网站管理员从用户接收多个文件,并安装在约3,000个网站上。它也有一个可能导致远程执行的漏洞,但缺陷的开发取决于网站上有哪些库。
此外,攻击者需要能够用专为COUCTED输入提交Web表单,并且根据站点配置,这可能需要身份验证。由于有可能限制缺陷的影响因素,因此它仅作为关键而不是非常关键。
Drupal CMS超过一百万个网站的权力,包括在Internet上最受欢迎的10,000个网站中的10个基于已知内容管理系统。它通常由企业使用。
版权及免责声明:凡本网所属版权作品,转载时须获得授权并注明来源“科技金融网”,违者本网将保留追究其相关法律责任的权力。凡转载文章,不代表本网观点和立场,如有侵权,请联系我们删除。