Drupal团队声明,最新的内核漏洞SA-CORE-2018-004(即CVE-2018-7602)与3月份出现的漏洞SA-CORE-2018-002(即CVE-2018-7600)是相关联的。黑客可以利用这些漏洞远程控制网站的服务器,从而盗取数据并修改网站的页面。 |
CVE-2018-7602漏洞来源于Drupalgeddon2 |
这个漏洞属于远程代码执行部分(RCE)的Bug,受影响的包括Drupal 7和Drupal 8版本。Drupal团队将该漏洞的危险系数评级为20,最高25。意味着攻击者可以完全控制受攻击的网站。 |
这个漏洞主要是关于Drupal如何处理URL中的“#”字符的方式,系统不能自动检测剔除参数当中的“#”字符。 |
用户可以将Drupal升级到最新的Drupal 7和Drupal 8版本的内核进行修复。最新的代码您可以在Drupal的官网进行获取。使用Drupal 7的用户,需要升级到最新的Drupal 7.59。使用Drupal 8.5版本的用户,需要升级到最新的Drupal 8.5.3。而还在使用Drupal 8.4的,可以升级到8.4.8版本。由于官网不再对8.4版本进行维护,后续将不会对8.4版本进行安全方面的升级更新。 |
本文版权所有,转载须注明:来源 https://www.qvdv.net/qvdv-notice-851.html