产品咨询:4000 258 365
|
申请产品演示
|
产品咨询:4000 258 365
|
申请产品演示
|
drupal cms团队修复了一个重要安全漏洞,黑客可以通过访问url接管网站。
drupal站长们应该立即更新到drupal 7.58或drupal 8.5.1。
drupal团队上周早些时候预告了今天的补丁,当时它表示“在今天披露后黑客可能会在数小时或数天内开发出exp”。
安全漏洞确实非常严重,drupal团队将严重程度分数设置为21(区间从1到25分)。
未经身份验证远程执行
漏洞编号为cve-2018-7600,能让攻击者运行cms核心组件的任何代码,从而接管站点。
攻击者无需在目标站点上进行注册或验证,只需要访问url。
drupal社区在2014年爆出过drupalgeddon安全漏洞(cve-2014-3704,sql注入,严重性25/25)现在的漏洞被称为drupalgeddon2。
没有公开的poc
目前没有公开的poc或exp代码,但研究人员已经开始通过drupal补丁进行寻找相关漏洞。
drupal开发人员称,drupal安全审计公司druid的员工jasper mattsson发现了这个漏洞。
研究人员反复强调补丁的重要性,即便是drupalk8凯发天生赢家主页今天也下线半小时用于修复补丁。
eoled drupal 6也受到影响
除了修复drupal的两个主要分支7.x和8.x之外,drupal团队还公布了2016年2月中止更新的6.x分支的补丁。
根据builtwith.com的统计,drupal目前拥有超过100万个网站,并在10万个最受欢迎的网站中拥有9%的市场份额。
骂战指引
如果你是wordpress站长,想嘲笑drupal千疮百孔的网站,可以在twitter上搜索标签#drupalgeddon2加入骂战。
试用申请
