Drupal 警告了两个中等严重的漏洞,允许攻击者覆盖数据并注入不允许的值
Drupal 宣布了两个影响版本 9.2 和 9.3 的漏洞,这些漏洞可能允许攻击者上传恶意文件并控制站点。这两个漏洞的威胁级别被评为中等严重。
美国网络安全和基础设施安全局 (CISA) 警告说,这些漏洞可能导致攻击者控制一个易受攻击的基于 Drupal 的网站。
CISA 表示:
“Drupal 已发布安全更新以解决影响 Drupal 9.2 和 9.3 的漏洞。
攻击者可以利用这些漏洞来控制受影响的系统。”
德鲁巴
Drupal 是一个流行的开源内容管理系统,用 PHP 编程语言编写。
史密森学会、环球音乐集团、辉瑞、强生、普林斯顿大学和哥伦比亚大学等许多主要组织都在其网站上使用 Drupal。
表单 API – 不正确的输入验证
第一个漏洞影响 Drupal 的表单 API。该漏洞是不正确的输入验证,这意味着通过表单 API 上传的内容未验证是否允许。
验证上传或输入表单的内容是一种常见的最佳实践。通常,输入验证是通过允许列表方法完成的,其中表单需要特定的输入,并且会拒绝与预期输入或上传不对应的任何内容。
当表单无法验证输入时,网站就会打开以上传可能触发 Web 应用程序中不需要的行为的文件。
Drupal 的公告解释了具体问题:
“Drupal 核心的表单 API 存在一个漏洞,其中某些贡献或自定义模块的表单可能容易受到不正确的输入验证的影响。这可能允许攻击者注入不允许的值或覆盖数据。受影响的表格并不常见,但在某些情况下,攻击者可能会更改关键或敏感数据。”
Drupal Core – 访问绕过
访问绕过是一种漏洞形式,其中可能有一种方法可以通过缺少访问控制检查的路径访问站点的一部分,导致在某些情况下用户能够访问他们没有的级别的权限。
Drupal 的公告描述了这个漏洞:
“Drupal 9.3 为实体修订实现了通用实体访问 API。但是,此 API 并未与现有权限完全集成,导致对通常有权使用内容修订版但无权访问节点和媒体内容的单个项目的用户进行一些可能的访问绕过。”
鼓励出版商审查安全公告并应用更新
美国网络安全和基础设施安全局 (CISA) 和 Drupal 鼓励发布者查看安全公告并更新到最新版本。
