Drupal SA-CORE-2019-008安全限制绕过漏洞预警

时间:2019-10-17 13:46:07来源:信息安全服务部作者:梦之想科技

Drupal是使用PHP语言编写的开源内容管理框架(CMF),它由内容管理系统(CMS)和PHP开发框架(Framework)共同构成,是基于PHP语言最著名的WEB应用程序。

漏洞简介


严重程度:高危

CVE编号:暂无

影响版本:Drupal 8.7.4


漏洞危害


条件限制:开启实验性的功能Workspaces(工作区模块)

参考:https://www.drupal.org/core/experimental

Drupal官方发布SA-CORE-2019-008漏洞预警,Drupal 8.7.4中存在一个安全漏洞。当Drupal 8.7.4开启实验性的功能Workspaces(工作区模块),远程攻击者可以利用此漏洞绕过目标系统的安全限制,进而访问目标系统敏感资源。


修复建议


1、更新版本至8.7.5;

2、禁用实验性功能。

此外,并且需要运行update.php进行更新处理并清除缓存,使用CDN的用户建议刷新缓存。