开源PHP组件漏洞曝光,多个运行CMS系统的网站受

全球第三大属性管理系统Drupal修补一重大安全漏洞,该漏洞允许远端黑客执行任意程序并取得Drupal网站的控制权。

据外媒报道,研究人员发现,CMS制造商Typo3开发的开源PHP组件PharStreamWrapper存在安全漏洞,运行Drupal、Joomla或Typo3内容管理系统的网站均受影响。

根据WebsiteSetup在去年12月的统计,全球约有16.5亿个网站,当中有一半采用属性管理系统进行建置,在CMS市场上,市占率最高的是WordPress,占了60%,居次的是Joomla的6.6%,Drupal则以4.6%名列第三,意味着约有3,700万个网站采用Drupal。

优信彩票购彩大厅 1

优信彩票购彩大厅 2

优信彩票购彩大厅,图片来源于创客贴

Drupal则说明,此一编号为CVE-2019-6340的安全漏洞,肇因于某些类型的栏位无法适当地处理非表格来源的资料,在某些情况下将允许黑客自远端执行PHP程序,因而将它列为高度重大(highly critical)漏洞。

据悉,该漏洞由研究人员Daniel Le Gall发现,被命名为Drupalgeddon,编号CVE-2019-11831,允许黑客使用恶意phar归档替换网站的合法归档文件。Drupal开发人员将其标记为中等危险级别,低于近期Drupal漏洞和早期远程代码执行漏洞的高危评级。

但只有在某些特定的配置下才会形成漏洞,包括在Drupal 8上启用RESTful Web服务模组,同时允许PATCH或POST请求;或者是启用了其它Web服务模组,像是在Drupal 8上启用JSON:API,或是在Drupal 7上启用Services或RESTful。

Drupal官方发布漏洞公告称,通过构造含有恶意代码的Phar文件,黑客可绕过Drupal core7.x、8.x版本PHP组件中针对反序列化保护的拦截器,远程执行恶意代码,影响业务系统安全。

Drupal已修补了相关漏洞,建议Drupal 8.6.x用户升级到Drupal 8.6.10,8.5.x用户升级到Drupal 8.5.11,而虽然8.5.x以前的Drupal 8版本也受到该漏洞的影响,但因其产品寿命周期已经结束,已无更新程式可用。

优信彩票购彩大厅 3

本文由优信彩票购彩大厅发布于互联网资讯,转载请注明出处:开源PHP组件漏洞曝光,多个运行CMS系统的网站受

您可能还会对下面的文章感兴趣: