2018年4月26日,国家信息安全漏洞共享平台(CNVD)收录了Drupal Core远程代码执行漏洞(CNVD-2018-08523,对应CVE-2018-7602)。综合利用上述漏洞,攻击者可实现远程代码执行攻击。部分漏洞验证代码已被公开,近期被不法分子利用进行大规模攻击的可能性较大,厂商已发布补丁进行修复。
漏洞影响范围:
受影响版本:
Drupal的7.x和8.x版本受此漏洞影响。
官方的修复版本:
Drupal 7.59,Drupal 8.5.3,Drupal 8.4.8
解决方案:
更新到最新的官方支持版本。如果不在官方支持版本的范围,升级到官方支持版本。
如果你在运行 7.x 版本, 更新到 Drupal 7.59.
如果你在运行 8.5.x 版本, 更新到 Drupal 8.5.3.
如果你在运行 8.4.x 版本, 更新到 Drupal 8.4.8.
如果你不能马上更新版本,在你升级到最新版本前请使用打上如下补丁:
Patch for Drupal 8.x (8.5.x and below)
这个补丁仅仅在你已经修补了 “SA-CORE-2018-002(CVE: CVE-2018-7600)” 之后才工作,如果你的网站没有尚未进行这个修补,请通过这链接排除已经被攻陷的可能。