2017年8月16日Drupal研究人员发布安全报告,宣称已修复Drupal8多处漏洞并在线更新安全补丁。由于Drupal强大的定制开发能力,众多有技术实力的网站建设公司优先选用的网站开发平台,存在一定的安全风险。建议用户及时排查并修复该风险。中新网安将对该漏洞进行持续关注,并第一时间为您更新相关漏洞信息。
中新网安安全研究院Drupal核心多处高危漏洞总结报告
【漏洞名称】Drupal核心 - 多处高危漏洞 【风险等级】高危 【影响版本】Drupal core 8.x版本和8.3.7之前的版本 【威胁描述】
当创建视图时,可以选择使用Ajax通过过滤器参数更新数据。不过,视图子模块仅对配置为Ajax的视图进行访问。如果用户对视图具有访问限制,那么可以减轻系统损失,即使用户正使用另一模块显示。
在Drupal8中存在另一绕过访问权限的关键漏洞,当使用REST API时,没有正确权限的用户可以通过即使用户没有发布已批准的注释的权限即可通过已批准的REST发布注释。目前,此漏洞已被评估为高危漏洞。
实体访问系统中存在可能允许不必要的访问来查看、创建、更新或删除实体的漏洞。这仅影响不使用或不具有UUID的实体,以及对同一实体的不同修订版具有不同访问限制的实体。此漏洞已被评估为高危漏洞。 【应对措施】
|