三个流行的Drupal模块获取网站收购缺陷的补丁
NHS Digital计划9月去公民身份服务
SAP董事会成员谈到中东投资
OpenReach列车在虚拟现实中的学徒工程师
中东的优步服务采用面部识别技术
智能视觉实验室滚动连接远程医疗产品
政府必须扩展教育和行业的机器学习支持
LastPass释放修复浏览器扩展安全漏洞
NVIDIA的Quadro P6000 GPU爆炸了12次表现的TEROPS
网络安全恐惧是Fintech Innovation的障碍
微软赢得美国政府对海外举行的电子邮件的申诉
随着Windows 10免费交易接近结束,增长略有放缓
Aggeko为蔚蓝机器学习提供预测维护
集装箱技术力量重新思考应用程序开发
GitHub原子1.9拾取了一些速度,掉落API
第一个Mariadb用户会议Hails关系模型的文艺复兴
近五分之一的新加坡商业领袖绕过它
请愿促使Apple不要释放用于干扰手机摄像机的技术
研究:当地议会敦促急于采用云
无人机有潜在的工业破坏
聊天,fitbits和ai:IT供应商确定人力资源技术的最高趋势
通奸网站Ashley Madison被FTC调查
审计苏格兰分享了IT项目失败的经验教训
美国致命崩溃后的自动驾驶仪系统故障探测特斯拉
谷歌的母公司将在美国开始测试送货无人机
Snapchat回忆 - 你应该知道的
蜕皮和少女黑头以48km光纤宽带网络亮起
NetSuite加速APAC扩展计划
亚马逊的鼎盛时期到另一个岩石开始
这款移动芯片比三星的Galaxy S7中的移动芯片更快
谷歌云获得视频软件公司Anvato
研究人员说,测试是IOT安全的关键
Facebook揭示了成千上万每周代码更新的精心打击电话测试流程
英国核动站对网络攻击的恐怖警报
雅虎用户无需惊慌失措
OLPC Redux:分拆为XO硬件提供后继者
新的Android特洛伊木马斯金特在地下论坛上泄漏
Microsoft Stuges Windows 10升级到全屏入侵升级
英特尔正在开发AR智能眼镜以进行互动协作
Addison Lee采用普通客户运输技术提供豪华快餐
瞻博网络在Junos OS中修补高风险的缺陷
微软向美国或加拿大的任何人开辟了Hololens销售
大多数人认为云服务与IT部门一样好或更好
通过明尼苏达射击,直播电流占据中心舞台
老敌人,新朋友:北欧银行和初创公司增加合作
独立同意Tesla的260美元买断
ubs将遗留依赖性与Microsoft Azure减少
展示令人印象深刻的增长,万神殿略微啜饮沉重的系列C.
只有9%的父母希望孩子成为技术企业家
欧洲委员会第三款针对谷歌的套装
您的位置:首页 >论坛 > 研究报告 >

三个流行的Drupal模块获取网站收购缺陷的补丁

2021-07-11 08:44:18 [来源]:

受欢迎的Drupal内容管理系统的安全团队与三个第三方模块的维护者合作,修复了可能允许攻击者接管网站的关键漏洞。

缺陷允许攻击者执行与安装的RESTWS,编码器或WEBForm多文件上载模块一起托管Drupal网站的Rogue PHP代码Web服务器。这些模块不是Drupal核心的一部分,但是数千个网站使用。

RETWS模块是一个流行的工具,用于创建REST应用程序编程接口(API),当前安装在5,800多个网站上。未经身份验证的攻击者可以通过向网站发送特殊编制的请求来利用其页面回调功能中的远程执行漏洞。

强烈建议使用没有减轻因素并升级到修复缺陷的模块的最新版本。

编码器是另一个流行的模块,并允许Drupal管理员检查其代码是否针对各种编码标准和最佳实践。它安装在超过4,950个网站上,它也包含一个远程执行漏洞,可以由未经身份验证的攻击者利用。

该模块甚至不需要启用,以便缺陷是可利用的,仅仅在文件系统上的存在足够。

最后,WebForm多文件上传模块允许网站管理员从用户接收多个文件,并安装在约3,000个网站上。它也有一个可能导致远程执行的漏洞,但缺陷的开发取决于网站上有哪些库。

此外,攻击者需要能够用专为COUCTED输入提交Web表单,并且根据站点配置,这可能需要身份验证。由于有可能限制缺陷的影响因素,因此它仅作为关键而不是非常关键。

Drupal CMS超过一百万个网站的权力,包括在Internet上最受欢迎的10,000个网站中的10个基于已知内容管理系统。它通常由企业使用。

郑重声明:本文版权归原作者所有,转载文章仅为传播更多信息之目的,如有侵权行为,请第一时间联系我们修改或删除,多谢。