2月21日，梦之想科技注意的Drupal在发布的重要安全更新中修补了一个远程代码执行漏洞，漏洞编号为CVE-2019-6340。分析表明，成功利用允许攻击者在目标主机上远程执行任意代码。

漏洞的成因

Drupal团队在披露该漏洞时表示，“某些字段类型并未正确地清洁非表单来源数据，在某种情况下可导致任意PHP代码执行。”

如果网站由Drupal 8内核驱动，且启用了RESTful Web Service (rest)模块，且处理PATCH或POST请求，或该网站启用了另外的web服务如Drupal 8中的JASON:API或Drupal 7中的Services或RESTful Web Services，则易受攻击。

漏洞的影响

如漏洞被成功利用，则可导致任意PHP代码远程执行。具体受影响的版本如下：

• Drupal 8.6.x（Drupal 8.6.10不受影响）

• Drupal 8.5.x或更早版本（Drupal 8.5.11不受影响）

• Drupal 7贡献的几个模块可能受此影响

漏洞的应对措施

对于运行Drupal 8的用户，可以通过更新到版本8.6.10或8.5.11。更新Drupal核心后，请务必为贡献的项目安装任何可用的安全更新。

Drupal 7不需要核心更新，但是几个Drupal 7贡献的模块确实需要更新。

想要立即缓解此漏洞，可以禁用所有Web服务模块，或将Web服务器配置为不允许对Web服务资源的PUT/PATCH/POST请求。此处需注意，Web服务资源可能在多个路径上可用，具体取决于服务器的配置。对于Drupal 7，这些资源可通过路径（清洁的URL）和通过‘q’查询参数的多种参数获取。对于Drupal 8而言，当路径以index.php/为前缀时，路径可能仍然起作用。