Drupal 被曝RCE 漏洞，可导致网站遭劫持

聚焦源代码安全，网罗国内外最新资讯！

编译：360代码卫士团队

Drupal中被曝潜在的严重的远程代码执行漏洞，可导致攻击者黑掉并劫持网站。网站管理员们应尽快更新。

该漏洞的编号是CVE-2019-6340，是由Drupal未能正确检查RESTful web服务的数据造成的。

如漏洞被成功利用，可导致黑客在目标网站的服务器上远程运行恶意代码并控制网站。Drupal将该漏洞评级为“高危”，并建议管理员尽快打补丁。

Drupal团队披露该漏洞时表示，“某些字段类型并未正确地清洁非表单来源数据。在某种情况下可导致任意PHP代码执行。”

如果网站由Drupal 8内核驱动，且启用了RESTful Web Service (rest)模块，且处理PATCH或POST请求，或该网站启用了另外的web服务如Drupal 8中的JASON:API或Drupal 7中的Services或RESTful Web Services，则易受攻击。

运行Drupal 8的站点可升级至版本8.6.10或8.5.11修复该漏洞。更早版本的Drupal 8不再受支持且不再接收补丁。虽然Drupal 7本身并非直接易受攻击，但该漏洞可能存在于多个模块中，因此管理员应当查看它们当中是否已有安全更新。

同时，Drupal表示好，所有的网站都能够缓解该缺陷，有效地解决攻击向量，方法是禁用web服务商的PUT/PATCH/POST请求或关闭web服务模块即可。

Drupal团队表示，“根据服务器的配置，多种路径上可能存在web服务资源。对于Drupal 7而言，这些资源可通过路径（清洁的URL）和通过‘q’查询参数的多种参数获取。对于Drupal 8而言，当路径以index.php/为前缀时，路径可能仍然起作用。”

该漏洞是由Drupal安全团队的Samuel Mortenson发现并报告的。

Drupal此前也修复了不少高危漏洞。去年夏天，严重漏洞“Drupalgeddon”触发了多个高优先级补丁，而它可导致远程服务器劫持的严重后果。

https://www.theregister.co.uk/2019/02/20/drupal_cve_2019_6340/