首页 > 安全研究 > 安全通报 > 安全通告

Drupal 远程代码执行漏洞安全通告

发布时间 2019-02-22

漏洞编号和级别

CVE编号：CVE-2019-6340，危险级别：严重， CVSS分值：官方未评定

影响范围

受影响版本：

漏洞影响Drupal 8.6.x、Drupal 8.5.x 及 Drupal 7中的部分组件。详细版本信息如下：

Drupal 8.6.9 及以下版本

Drupal 8.6.10 及以下版本

影响组件

RESTful Web Services

JSON:API

Link

Metatag

Video

Paragraphs

Translation Management Tool

Font Awesome lcons

漏洞概述

2月20日，Drupal 官方披露了一个 Drupal 的远程命令执行漏洞，漏洞是由Drupal 未对RESTful Web的数据进行严格效验造成。如果网站开启了RESTful Web服务，并且接受PATCH 、POST请求，或站点中开启了其他web服务模块，将会出现反序列化问题，进而造成代码执行。

根据Drupal 的配置，此漏洞可能不需要任何权限即可触发。但是如果被利用，攻击者则可以直接在Web服务器上执行任意PHP代码，造成服务器被入侵、用户信息泄露等后果。

RESTful 服务默认不开启，大大降低漏洞风险。为安全起见，建议使用Drupal 的用户及时进行版本升级。

漏洞细节

1. 漏洞定位

漏洞通告指出了 Drupal 8 在开启了 RESTful Web Services 模块，同时允许了 PATCH / POST 方法请求后，可以造成代码执行漏洞。

根据 commit log（https://github.com/drupal/core/commit/24b3fae89eab2b3951f17f80a02e19d9a24750f5）可以定位到漏洞的触发原因在于反序列化的操作：

可以推测应该是在进行 REST API 操作的过程中，options 参数的内容带入到 unserialize 函数导致的。通过 diff 可以发现 LinkItem.php 和 MapItem.php 都受到影响，这里从 LinkItem 来向上挖掘漏洞点。

查看 core\modules\link\src\Plugin\Field\FieldType\LinkItem.php：

梳理了其整个调用链，从 REST 请求开始，先通过用户传入的 JSON 的 _links.type 获取了其对应的 Entity，再获取 Entity 内的 Fields 列表，遍历这个列表得到 key，从用户传入的 JSON 内取出 key，拼接成为 field_item:key 的形式（过程略），最终在 getDefinition 内查找了 definitions 数组内的字段定义，得到一个对应的 Field 的实例对象，过程大体如下：