【漏洞预警】Drupa内核远程代码执行漏洞(CVE-2019-6340)

2019-02-21 14:40:13
尊敬的用户

您好,近日京东云安全团队检测到Drupal披露存在远程代码执行的高危漏洞,攻击者利用漏洞,可能远程执行PHP任意代码获取服务器权限。

京东云安全团队建议您及时开展安全自查,如在受影响范围,请您及时进行更新修复,避免被外部攻击者入侵。

【漏洞详情】

如果满足以下条件之一,则网站仅受此影响:

1.启用了Drupal 8核心RESTful Web服务(rest)模块,并允许PATCH或POST请求,

2.启用了另一个Web服务模块,如Drupal 8中的JSON:API,或Drupal 7中的Services或RESTful Web Services。

【漏洞等级】

SA-CORE-2019-003 严重

【安全版本】

Drupal 8.6.10及以上

Drupal 8.5.11及以上

【修复建议】

升级Drupal核心代码至安全版本

参考连接:

https://www.drupal.org/sa-core-2019-003


京东云团队

2019-02-21 14:40:13