立即修补以补救CSRF和远程代码执行错误
更新Drupal修复了一对关键漏洞在广泛使用的开源内容管理系统中。
首先是跨站点伪造((CSRF)脆弱性(SA核2020-004)这意味着Drupal Core形式API无法正确处理跨站点请求的某些表单输入。
该错误是由Drupal Security Team的Samuel Mortenson和Dor Tumarkin确定的应用程序安全CheckMarx的团队负责人。
据CheckMarx称技术博客文章。
“通过跨站脚本((XSS)和文档对象模型(DOM)操作,发现的API漏洞被证明会影响最新版本的Drupal(9.0)和以前的版本。”安全公司补充说。
临界漏洞分别在Drupal 7.72,Drupal 8.8.8,Drupal 8.9.1和Drupal 9.0.1中解决。
相同的一组更新还解决了一个单独的关键漏洞(SA核2020-005)涉及任意PHP代码执行风险。
“攻击者可以欺骗管理员访问恶意网站,这可能会导致在文件系统上创建一个精心命名的目录,” Drupal Core开发团队的咨询说明。
“有了这个目录,攻击者可以试图强迫远程代码执行漏洞。”
安全研究人员Lorenzo Grespan和Pentest的Sam Thomas被认为发现了PHP缺陷。
这两个关键更新均在周三发布,以及一个不太严重的访问旁路漏洞(SA核2020-006)。
7月3日,Pentest研究人员发布了详细的文章他们的发现。
