这个漏洞被认为足够严重,Drupal的安全团队会在周三的补丁发布前一天警告管理员,以预留时间来解决这个漏洞。
Drupal是网站发布的第三大最受欢迎的CMS,约占全球十亿多网站的3%。黑客可以使用这个缺陷,跟踪为CVE-2019-6340,劫持Drupal站点并可能控制Web服务器。
根据Drupal的说法,这个错误是由于某些文件类型无法正确清理来自非表单源的数据,例如RESTful Web服务。它警告说,这种失败会导致任意PHP代码执行。
根据Drupal的建议,在完成对安全版本的更新之前,管理员可以通过禁用所有Web服务模块来缓解该错误。管理员还可以通过禁止对Web服务资源的PUT / PATCH / POST请求来缓解该错误。
受影响的Drupal核心分支包括Drupal 8.6.x和Drupal 8.5.x及更早版本。管理员应立即升级到每个分支的固定版本,即Drupal 8.6.10和Drupal 8.5.11。
仅当启用了Drupal 8核心RESTful Web服务(休息)模块并允许PATCH或POST请求时,才会影响站点。同样受影响的是启用了其他Web服务模块的站点,例如Drupal 8中的JSON:API,以及Drupal 7中的Service模块或RESTful Web Services模块。
Drupal警告说,在更新Drupal核心后,管理员需要为几个受影响的第三方Drupal项目安装安全更新。这些包括Font Awesome Icons,翻译管理工具,Paragraphs,Video,Metatag,Link,JSON:API和RESTful Web Services。
Drupal 7核心实际上并不需要更新,但Drupal警告说,需要更新Drupal 7的一些上述第三方项目。
这个漏洞是由Drupal安全团队发现的,所以很可能这个漏洞还没有在野外被利用。但鉴于错误的严重性和预发布警报,项目似乎预计该错误可能在不久的将来被利用。
最近几个月,黑客一直在利用没有安装更新的Drupal网站来解决去年春天披露的几个“Drupalgeddon 2”漏洞。这些攻击的主要目的是在受影响的Web服务器上安装加密货币的矿工。
攻击者有很多Drupal站点可以使用。研究发现,在固定版本发布三个月后,仍有超过100,000个网站运行的CMS版本容易受到Drupalgeddon 2漏洞的攻击。