全部产品
云市场

【漏洞公告】CVE-2018-7602:Drupal内核远程代码执行漏洞

更新时间:2018-05-30 17:53:37

2018年4月26日,阿里云云盾应急响应中心监测到Drupal官方发布新补丁和安全公告,宣称Drupal 7,8等多个子版本存在远程代码执行漏洞,攻击者可以利用Drupal网站漏洞,具备登录且有删除权限后触发执行恶意代码,导致网站被完全控制。

漏洞详情见下文。


漏洞编号

CVE-2018-7602

漏洞名称

Drupal内核远程代码执行漏洞

官方评级

高危

漏洞描述

Drupal7,8等多个子版本内核存在远程代码执行漏洞

漏洞利用条件和方式

远程代码执行

漏洞影响范围

至2018年4月26日,目前针对部分版本有公开PoC

Drupal 7.x版本

Drupal 8.4.x版本

Drupal 8.5.x版本

漏洞检测

检查是否使用了受影响版本

漏洞修复建议(或缓解措施)

阿里云安全团队建议使用了Drupal相关版本用户关注并及时更新到官方最新版。

阿里云WAF已更新防护规则,可以使用阿里云WAF进行防护。

情报来源

https://www.drupal.org/sa-core-2018-004