三个流行的Drupal模块获取网站收购缺陷的补丁
2021-07-11 08:44:18 [来源]:
受欢迎的Drupal内容管理系统的安全团队与三个第三方模块的维护者合作,修复了可能允许攻击者接管网站的关键漏洞。
缺陷允许攻击者执行与安装的RESTWS,编码器或WEBForm多文件上载模块一起托管Drupal网站的Rogue PHP代码Web服务器。这些模块不是Drupal核心的一部分,但是数千个网站使用。
RETWS模块是一个流行的工具,用于创建REST应用程序编程接口(API),当前安装在5,800多个网站上。未经身份验证的攻击者可以通过向网站发送特殊编制的请求来利用其页面回调功能中的远程执行漏洞。
强烈建议使用没有减轻因素并升级到修复缺陷的模块的最新版本。
编码器是另一个流行的模块,并允许Drupal管理员检查其代码是否针对各种编码标准和最佳实践。它安装在超过4,950个网站上,它也包含一个远程执行漏洞,可以由未经身份验证的攻击者利用。
该模块甚至不需要启用,以便缺陷是可利用的,仅仅在文件系统上的存在足够。
最后,WebForm多文件上传模块允许网站管理员从用户接收多个文件,并安装在约3,000个网站上。它也有一个可能导致远程执行的漏洞,但缺陷的开发取决于网站上有哪些库。
此外,攻击者需要能够用专为COUCTED输入提交Web表单,并且根据站点配置,这可能需要身份验证。由于有可能限制缺陷的影响因素,因此它仅作为关键而不是非常关键。
Drupal CMS超过一百万个网站的权力,包括在Internet上最受欢迎的10,000个网站中的10个基于已知内容管理系统。它通常由企业使用。
郑重声明:本文版权归原作者所有,转载文章仅为传播更多信息之目的,如有侵权行为,请第一时间联系我们修改或删除,多谢。