全部产品
云市场
云游戏

【漏洞公告】CVE-2017-6923/CVE-2017-6924/CVE-2017-6925:Dural多个高危漏洞

更新时间:2018-03-08 19:33:40

Drupal研究人员于2017年8月16日发布安全报告,宣称已修复Drupal 8多处漏洞并在线更新了安全补丁。研究显示这些漏洞影响Drupal 8多个系统组件,包括实体访问系统、REST API,和部分视图组件。

漏洞详情见下文。


漏洞编号

CVE-2017-6923

CVE-2017-6924

CVE-2017-6925

漏洞名称

Dural多个高危漏洞

官方评级

高危

漏洞描述

  • CVE-2017-6925

    该漏洞存在于Drupal 8.3.7中,它影响实体访问系统,允许攻击者查看、创建、删除或更新实体。不过,该漏洞仅影响不具备 UUID 实体,以及对同一实体不同版本有多种访问限制的实体系统。

  • CVE-2017-6924

    该漏洞存在于Drupal 8,可被用于绕过访问权限。当无访问权限的任何用户驻留在REST API时,可以通过REST发布评论。目前,此漏洞已被评估为高危漏洞,因为它影响具有RESTful Web服务模块与启用注释实体REST资源的站点。

  • CVE-2017-6923

    Drupal 8中还存在另一影响视图组件的关键漏洞(CVE-2017-6923)。当用户创建视图时,可以选择使用Ajax通过过滤器参数更新数据。不过,视图子模块仅对配置为Ajax的视图进行访问。如果用户对视图具有访问限制,那么可以减轻系统损失,即使用户正使用另一模块显示。

漏洞利用条件和方式

远程利用。

漏洞影响范围

Drupal core 8.x 版本和 8.3.7之前的版本

不受影响版本:Drupal 7 core

漏洞检测

检查是否使用了受影响版本。

漏洞修复建议(或缓解措施)

阿里云安全团队建议使用了Drupal 8的用户关注并及时更新到官方最新版。

情报来源

HackerNews:http://hackernews.cc/archives/13634