首页 > 安全研究 > 安全通报 > 安全通告

Drupal core访问权限控制失效漏洞安全通告

发布时间 2019-07-19

漏洞编号和级别


CVE编号:CVE-2019-6342,危险级别:严重,CVSS分值:官方未评定


影响版本


受影响的版本


Drupal 8.7.4


漏洞概述


Drupal core是Drupal社区所维护的一套用PHP语言开发的免费、开源的内容管理系统。


在Drupal 8.7.4版本中,当处于实验性的功能 Workspaces (工作区模块) 开启的时候,部分路径将不受到访问权限管理控制的限制,可以被任意访问。


漏洞验证


暂无POC/EXP。


修复建议


目前厂商已发布新版本以修复漏洞,将Drupal更新到8.7.5版本:https://www.drupal.org/download;


缓解措施:禁用 Workspaces 模块。


参考链接


https://www.drupal.org/sa-core-2019-008 


上一篇 下一篇