Quel est le rapport de CNNVD sur les vulnérabilités d’exécution de code à distance de Drupal Core ?

La base de données nationale sur les vulnérabilités de sécurité de l'information (CNNVD) a reçu des rapports sur des vulnérabilités d'exécution de code à distance de Drupal Core (CNNVD-201804-1490, CVE-2018-7602). Un attaquant qui parviendrait à exploiter cette vulnérabilité pourrait mener des attaques par exécution de code à distance sur le système cible. Plusieurs versions de Drupal, dont la version 7.x et la version 8.x, sont affectées par cette vulnérabilité. Actuellement, une partie du code de vérification de cette vulnérabilité a été rendue publique sur Internet et Drupal a officiellement publié un correctif pour corriger la vulnérabilité. Il est recommandé aux utilisateurs de confirmer rapidement s'ils sont concernés par la vulnérabilité et de prendre des mesures correctives. le plus tôt possible.

1. Introduction à la vulnérabilité

Drupal est un framework de gestion de contenu gratuit et open source développé en langage PHP maintenu par la communauté Drupal. Il est composé d'un système de gestion de contenu (CMS) et d'un framework de développement PHP (Framework). ).

Vulnérabilité d'exécution de code à distance Drupal Core (CNNVD-201804-1490, CVE-2018-7602), cette vulnérabilité est similaire à la précédente vulnérabilité d'exécution de code à distance Drupal Core en mars 2018 (CNNVD-201803-1136, CVE-2018-7600 ) De même, la vulnérabilité provient du correctif officiel incomplet de Drupal de la vulnérabilité, qui permet de contourner le correctif, permettant ainsi l'exécution de code à distance.

2. Impact dangereux

Un attaquant qui parvient à exploiter cette vulnérabilité peut mener des attaques d'exécution de code à distance sur le système cible. Dans un avenir proche, il est fort probable qu'une partie du code de vérification de cette vulnérabilité publié sur Internet soit exploitée. Les versions concernées par la vulnérabilité sont les suivantes :

Drupal version 7.x, Drupal version 8.x.

3. Suggestions de réparation

Actuellement, Drupal a officiellement publié un correctif pour corriger la vulnérabilité. S'il est confirmé qu'il est affecté par la vulnérabilité, veuillez suivre ce qui suit. mesures pour le protéger dans les plus brefs délais.

1. Mettre à niveau la version Drupal :

Drupal 7.x, veuillez passer à la version Drupal 7.59.

Veuillez mettre à niveau Drupal 8.4.x vers la version 8.4.8

Drupal 8.5.x veuillez mettre à niveau vers Drupal 8.5.3.

2. Si l'utilisateur ne peut pas mettre à jour la version immédiatement, veuillez mettre à jour le correctif. L'adresse du correctif est :

version	adresse du correctif
version 7.X	https. ://cgit .drupalcode.org/drupal/rawdiff/?h=7.x&id=080daa38f265ea28444c540832509a48861587d0
Drupal 8 x	https://cgit.drupalcode.org/drupal/rawdiff/?h=8. .5. x&id=bb6d396609600d1169da29456ba3db59abae4b7e

Ce qui précède est le contenu détaillé de. pour plus d'informations, suivez d'autres articles connexes sur le site Web de PHP en chinois!