Drupal开发团队发布了Drupal 8.2.7版本,解决了流行CMS中的一系列的漏洞。漏洞列表包括访问绕过问题,跨站点请求伪造(CSRF)漏洞和远程代码执行的问题。
其中最严重的漏洞是编号为CVE-2017-6377访问绕过漏洞,影响了CMS的编辑器模块。
“当通过配置的文本编辑器(如CKEditor)添加专用文件时,编辑器将无法正确检查被附加的文件的访问,导致访问绕过” Drupal安全公告描述到。
另一个中度严重的漏洞是编号为CVE-2017-6379的CSRF漏洞。攻击者能够利用这个漏洞通过已知的区块ID来禁用网站的某些区块。
在列表中,我们还发现了一个中度危险的CVE-2017-6381远程代码执行漏洞。 RCE漏洞CVE-2017-6381会影响第三方开发库和依赖程序的开发。
好消息是,Drupal Composer依赖项通常不会安装,并且默认执行.htaccess中的php保护。
为了提高Drupal安装的安全性,Drupal v8.2.7包括了phpunit开发依赖的安全更新。 基本上,新版本中的Drupal核心需要最安全的phpunit版本。
更新Drupal版本是很必要的,CMS是黑客的特权目标,试图利用在线可用的漏洞代码来发现已知的漏洞。过时的版本会暴露网站使其用户有网络攻击的风险。
关于Drupal
Drupal是一个开源的内容管理系统(CMS)平台,用于构造提供多种功能和服务的动态网站,这些功能包括用户管理(User Administration)、发布工作流(Publishing Workflow)、讨论、新闻聚合(News Aggregation)、元数据(Metadata)操作和用于内容共享的XML发布。它综合了强大并可自由配置的功能,能支持从个人博客 (Personal Weblog)到大型社区驱动(Community-Driven)的网站等各种不同应用的网站项目。
原文:http://securityaffairs.co/wordpress/57192/hacking/drupal-version-8-2-7.html