Drupal核心组件多个漏洞安全通告
发布时间 2019-04-19漏洞编号和级别
CVE编号:暂无,危险级别:高危,CVSS分值:官方未评定
CVE编号:CVE-2019-10909,危险级别:高危,CVSS分值:官方未评定
CVE编号:CVE-2019-10910,危险级别:高危,CVSS分值:官方未评定
CVE编号:CVE-2019-10911,危险级别:高危,CVSS分值:官方未评定
影响版本
受影响的版本
Drupal 8.5或更早版本,Drupal 8.6,Drupal 7
受影响的组件
jQuery < 3.4.0
Symfony 2.7.0 to 2.7.50, 2.8.0 to 2.8.49, 3.4.0 to 3.4.25, 4.1.0 to 4.1.11 and 4.2.0 to 4.2.6
漏洞概述
Drupal是Drupal社区的一套使用PHP语言开发的开源内容管理系统。Drupal发布了安全更新,以解决Drupal Core中的多个安全漏洞,这些漏洞可能允许远程攻击者破坏数十万个网站的安全性。
其中一个安全漏洞是一个跨站点脚本(XSS)漏洞,它存在于第三方插件中,称为JQuery,这是数百万网站使用的最流行的JavaScript库,也预先集成在Drupal Core中。该漏洞尚未分配CVE编号。
其余三个安全漏洞存在于Drupal Core使用的Symfony PHP组件中:
CVE-2019-10909
使用PHP模板引擎的表单主题时,验证消息未被转义,当验证消息可能包含用户输入时,可能会导致XSS。
CVE-2019-10910
从未过滤的用户输入派生的服务ID可能导致执行任何任意代码,从而导致可能的远程代码执行。
CVE-2019-10911
攻击者可以修改记住我的cookie并作为不同的用户进行身份验证。
漏洞验证
暂无POC/EXP。
修复建议
目前已有新版本如下,请用户及时更新。
Drupal 8.6.15
https://www.drupal.org/project/drupal/releases/8.6.15
Drupal 8.5.15
https://www.drupal.org/project/drupal/releases/8.5.15
Drupal 7.66
https://www.drupal.org/project/drupal/releases/7.66
Symfony 2.7.51, 2.8.50, 3.4.26, 4.1.12 and 4.2.7
https://github.com/symfony/symfony/commit/ab4d05358c3d0dd1a36fc8c306829f68e3dd84e2
jQuery 3.4.0
https://blog.jquery.com/2019/04/10/jquery-3-4-0-released/
参考链接
https://www.drupal.org/security
|
|
|||||
|
|||||
|
|
|||||
京公网安备11010802024551号