中国ManbetX官网局主办 | 加入收藏| 招警信息|110服务台|有奖举报
  → 您现在的位置: 重庆市公安局公众信息网网络安全管理
关于Drupal core远程代码执行漏洞的安全公告
来自:|时间:2018年04月04日【字号: 】 【打印】 【关闭

国家信息安全漏洞共享平台(CNVD)收录了Drupal core远程代码执行漏洞(CNVD-2018-06660,对应CVE-2018-7600)。综合利用上述漏洞,攻击者可实现远程代码执行攻击。目前,漏洞细节尚未公开。

一、漏洞情况分析

Drupal是一个由Dries Buytaert创立的自由开源的内容管理系统,用PHP语言写成。在业界Drupal常被视为内容管理框架,而非一般意义上的内容管理系统。

Drupal 678多个子版本存在远程代码执行漏洞,远程攻击者可利用该漏洞执行任意代码,从而影响到业务系统的安全性。

CNVD对上述漏洞的综合评级为“高危”。

二、漏洞影响范围

Drupal6.x7.x8.x版本受此漏洞影响。

CNVD秘书处对该系统在全球的分布情况进行了统计,全球系统规模约为30.9万,用户量排名前五的分别是美国(48.5%)、德国(8.1%)、法国(4%)、英国(3.8%)和俄罗斯(3.7%),而在我国境内的分布较少(0.88%)。

三、漏洞修复建议

目前,厂商已发布补丁和安全公告以修复该漏洞,具体修复建议如下:

1)推荐更新

主要支持版本推荐更新到Drupal相应的最新子版本。

2)使用patch更新

如果不能立即更新,请使用对应patch

3)其他不支持版本

Drupal 8.0/8.1/8.2版本已彻底不再维护,如果还在使用这些版本的Drupal,请尽快更新到8.3.98.4.6版本。

联系我们 | 网上办事导航 | 招警信息 | 政府公开信箱 | 有奖举报
关闭窗口】 【返回首页