-
- 关于WordPress WP Automatic 插件SQL注入漏洞(CVE-2024-27956)的安全告知
- 关于ZenML服务器远程权限提升漏洞(CVE-2024-25723)的安全告知
- 关于禅道项目管理系统身份绕过漏洞的安全告知
- 关于CrushFTP任意文件读取漏洞(CVE-2024-4040)的安全告知
- 关于Progress Flowmon命令注入漏洞(CVE-2024-2389)的安全告知
- 关于Apache Zeppelin Shell解释器命令执行漏洞(CVE-2024-31861)的安全告知
- 关于MajorDoMo命令执行漏洞(CVE-2023-50917)的安全告知
- 关于D-Link产品远程命令执行漏洞(CVE-2024-3273)的安全告知
- 关于Palo Alto Networks PAN-OS 命令注入漏洞(CVE-2024-3400)的安全告知
- 关于Aiohttp路径遍历漏洞(CVE-2024-23334)的安全告知
-
- 关于WordPress WP Automatic 插件SQL注入漏洞(CVE-2024-27956)的安全告知
- 关于ZenML服务器远程权限提升漏洞(CVE-2024-25723)的安全告知
- 关于禅道项目管理系统身份绕过漏洞的安全告知
- 关于CrushFTP任意文件读取漏洞(CVE-2024-4040)的安全告知
- 关于Progress Flowmon命令注入漏洞(CVE-2024-2389)的安全告知
- 关于Apache Zeppelin Shell解释器命令执行漏洞(CVE-2024-31861)的安全告知
- 关于MajorDoMo命令执行漏洞(CVE-2023-50917)的安全告知
- 关于D-Link产品远程命令执行漏洞(CVE-2024-3273)的安全告知
- 关于Palo Alto Networks PAN-OS 命令注入漏洞(CVE-2024-3400)的安全告知
- 关于Aiohttp路径遍历漏洞(CVE-2024-23334)的安全告知
-
- 关于WordPress WP Automatic 插件SQL注入漏洞(CVE-2024-27956)的安全告知
- 关于ZenML服务器远程权限提升漏洞(CVE-2024-25723)的安全告知
- 关于禅道项目管理系统身份绕过漏洞的安全告知
- 关于CrushFTP任意文件读取漏洞(CVE-2024-4040)的安全告知
- 关于Progress Flowmon命令注入漏洞(CVE-2024-2389)的安全告知
- 关于Apache Zeppelin Shell解释器命令执行漏洞(CVE-2024-31861)的安全告知
- 关于MajorDoMo命令执行漏洞(CVE-2023-50917)的安全告知
- 关于D-Link产品远程命令执行漏洞(CVE-2024-3273)的安全告知
- 关于Palo Alto Networks PAN-OS 命令注入漏洞(CVE-2024-3400)的安全告知
- 关于Aiohttp路径遍历漏洞(CVE-2024-23334)的安全告知
-
- 关于WordPress WP Automatic 插件SQL注入漏洞(CVE-2024-27956)的安全告知
- 关于ZenML服务器远程权限提升漏洞(CVE-2024-25723)的安全告知
- 关于禅道项目管理系统身份绕过漏洞的安全告知
- 关于CrushFTP任意文件读取漏洞(CVE-2024-4040)的安全告知
- 关于Progress Flowmon命令注入漏洞(CVE-2024-2389)的安全告知
- 关于Apache Zeppelin Shell解释器命令执行漏洞(CVE-2024-31861)的安全告知
- 关于MajorDoMo命令执行漏洞(CVE-2023-50917)的安全告知
- 关于D-Link产品远程命令执行漏洞(CVE-2024-3273)的安全告知
- 关于Palo Alto Networks PAN-OS 命令注入漏洞(CVE-2024-3400)的安全告知
- 关于Aiohttp路径遍历漏洞(CVE-2024-23334)的安全告知
-
- 关于WordPress WP Automatic 插件SQL注入漏洞(CVE-2024-27956)的安全告知
- 关于ZenML服务器远程权限提升漏洞(CVE-2024-25723)的安全告知
- 关于禅道项目管理系统身份绕过漏洞的安全告知
- 关于CrushFTP任意文件读取漏洞(CVE-2024-4040)的安全告知
- 关于Progress Flowmon命令注入漏洞(CVE-2024-2389)的安全告知
- 关于Apache Zeppelin Shell解释器命令执行漏洞(CVE-2024-31861)的安全告知
- 关于MajorDoMo命令执行漏洞(CVE-2023-50917)的安全告知
- 关于D-Link产品远程命令执行漏洞(CVE-2024-3273)的安全告知
- 关于Palo Alto Networks PAN-OS 命令注入漏洞(CVE-2024-3400)的安全告知
- 关于Aiohttp路径遍历漏洞(CVE-2024-23334)的安全告知
-
- 关于WordPress WP Automatic 插件SQL注入漏洞(CVE-2024-27956)的安全告知
- 关于ZenML服务器远程权限提升漏洞(CVE-2024-25723)的安全告知
- 关于禅道项目管理系统身份绕过漏洞的安全告知
- 关于CrushFTP任意文件读取漏洞(CVE-2024-4040)的安全告知
- 关于Progress Flowmon命令注入漏洞(CVE-2024-2389)的安全告知
- 关于Apache Zeppelin Shell解释器命令执行漏洞(CVE-2024-31861)的安全告知
- 关于MajorDoMo命令执行漏洞(CVE-2023-50917)的安全告知
- 关于D-Link产品远程命令执行漏洞(CVE-2024-3273)的安全告知
- 关于Palo Alto Networks PAN-OS 命令注入漏洞(CVE-2024-3400)的安全告知
- 关于Aiohttp路径遍历漏洞(CVE-2024-23334)的安全告知
-
- 关于WordPress WP Automatic 插件SQL注入漏洞(CVE-2024-27956)的安全告知
- 关于ZenML服务器远程权限提升漏洞(CVE-2024-25723)的安全告知
- 关于禅道项目管理系统身份绕过漏洞的安全告知
- 关于CrushFTP任意文件读取漏洞(CVE-2024-4040)的安全告知
- 关于Progress Flowmon命令注入漏洞(CVE-2024-2389)的安全告知
- 关于Apache Zeppelin Shell解释器命令执行漏洞(CVE-2024-31861)的安全告知
- 关于MajorDoMo命令执行漏洞(CVE-2023-50917)的安全告知
- 关于D-Link产品远程命令执行漏洞(CVE-2024-3273)的安全告知
- 关于Palo Alto Networks PAN-OS 命令注入漏洞(CVE-2024-3400)的安全告知
- 关于Aiohttp路径遍历漏洞(CVE-2024-23334)的安全告知
-
- 关于WordPress WP Automatic 插件SQL注入漏洞(CVE-2024-27956)的安全告知
- 关于ZenML服务器远程权限提升漏洞(CVE-2024-25723)的安全告知
- 关于禅道项目管理系统身份绕过漏洞的安全告知
- 关于CrushFTP任意文件读取漏洞(CVE-2024-4040)的安全告知
- 关于Progress Flowmon命令注入漏洞(CVE-2024-2389)的安全告知
- 关于Apache Zeppelin Shell解释器命令执行漏洞(CVE-2024-31861)的安全告知
- 关于MajorDoMo命令执行漏洞(CVE-2023-50917)的安全告知
- 关于D-Link产品远程命令执行漏洞(CVE-2024-3273)的安全告知
- 关于Palo Alto Networks PAN-OS 命令注入漏洞(CVE-2024-3400)的安全告知
- 关于Aiohttp路径遍历漏洞(CVE-2024-23334)的安全告知
-
- 关于WordPress WP Automatic 插件SQL注入漏洞(CVE-2024-27956)的安全告知
- 关于ZenML服务器远程权限提升漏洞(CVE-2024-25723)的安全告知
- 关于禅道项目管理系统身份绕过漏洞的安全告知
- 关于CrushFTP任意文件读取漏洞(CVE-2024-4040)的安全告知
- 关于Progress Flowmon命令注入漏洞(CVE-2024-2389)的安全告知
- 关于Apache Zeppelin Shell解释器命令执行漏洞(CVE-2024-31861)的安全告知
- 关于MajorDoMo命令执行漏洞(CVE-2023-50917)的安全告知
- 关于D-Link产品远程命令执行漏洞(CVE-2024-3273)的安全告知
- 关于Palo Alto Networks PAN-OS 命令注入漏洞(CVE-2024-3400)的安全告知
- 关于Aiohttp路径遍历漏洞(CVE-2024-23334)的安全告知
-
- 关于WordPress WP Automatic 插件SQL注入漏洞(CVE-2024-27956)的安全告知
- 关于ZenML服务器远程权限提升漏洞(CVE-2024-25723)的安全告知
- 关于禅道项目管理系统身份绕过漏洞的安全告知
- 关于CrushFTP任意文件读取漏洞(CVE-2024-4040)的安全告知
- 关于Progress Flowmon命令注入漏洞(CVE-2024-2389)的安全告知
- 关于Apache Zeppelin Shell解释器命令执行漏洞(CVE-2024-31861)的安全告知
- 关于MajorDoMo命令执行漏洞(CVE-2023-50917)的安全告知
- 关于D-Link产品远程命令执行漏洞(CVE-2024-3273)的安全告知
- 关于Palo Alto Networks PAN-OS 命令注入漏洞(CVE-2024-3400)的安全告知
- 关于Aiohttp路径遍历漏洞(CVE-2024-23334)的安全告知
-
- 关于WordPress WP Automatic 插件SQL注入漏洞(CVE-2024-27956)的安全告知
- 关于ZenML服务器远程权限提升漏洞(CVE-2024-25723)的安全告知
- 关于禅道项目管理系统身份绕过漏洞的安全告知
- 关于CrushFTP任意文件读取漏洞(CVE-2024-4040)的安全告知
- 关于Progress Flowmon命令注入漏洞(CVE-2024-2389)的安全告知
- 关于Apache Zeppelin Shell解释器命令执行漏洞(CVE-2024-31861)的安全告知
- 关于MajorDoMo命令执行漏洞(CVE-2023-50917)的安全告知
- 关于D-Link产品远程命令执行漏洞(CVE-2024-3273)的安全告知
- 关于Palo Alto Networks PAN-OS 命令注入漏洞(CVE-2024-3400)的安全告知
- 关于Aiohttp路径遍历漏洞(CVE-2024-23334)的安全告知
-
- 关于WordPress WP Automatic 插件SQL注入漏洞(CVE-2024-27956)的安全告知
- 关于ZenML服务器远程权限提升漏洞(CVE-2024-25723)的安全告知
- 关于禅道项目管理系统身份绕过漏洞的安全告知
- 关于CrushFTP任意文件读取漏洞(CVE-2024-4040)的安全告知
- 关于Progress Flowmon命令注入漏洞(CVE-2024-2389)的安全告知
- 关于Apache Zeppelin Shell解释器命令执行漏洞(CVE-2024-31861)的安全告知
- 关于MajorDoMo命令执行漏洞(CVE-2023-50917)的安全告知
- 关于D-Link产品远程命令执行漏洞(CVE-2024-3273)的安全告知
- 关于Palo Alto Networks PAN-OS 命令注入漏洞(CVE-2024-3400)的安全告知
- 关于Aiohttp路径遍历漏洞(CVE-2024-23334)的安全告知
-
- 关于WordPress WP Automatic 插件SQL注入漏洞(CVE-2024-27956)的安全告知
- 关于ZenML服务器远程权限提升漏洞(CVE-2024-25723)的安全告知
- 关于禅道项目管理系统身份绕过漏洞的安全告知
- 关于CrushFTP任意文件读取漏洞(CVE-2024-4040)的安全告知
- 关于Progress Flowmon命令注入漏洞(CVE-2024-2389)的安全告知
- 关于Apache Zeppelin Shell解释器命令执行漏洞(CVE-2024-31861)的安全告知
- 关于MajorDoMo命令执行漏洞(CVE-2023-50917)的安全告知
- 关于D-Link产品远程命令执行漏洞(CVE-2024-3273)的安全告知
- 关于Palo Alto Networks PAN-OS 命令注入漏洞(CVE-2024-3400)的安全告知
- 关于Aiohttp路径遍历漏洞(CVE-2024-23334)的安全告知
-
- 关于WordPress WP Automatic 插件SQL注入漏洞(CVE-2024-27956)的安全告知
- 关于ZenML服务器远程权限提升漏洞(CVE-2024-25723)的安全告知
- 关于禅道项目管理系统身份绕过漏洞的安全告知
- 关于CrushFTP任意文件读取漏洞(CVE-2024-4040)的安全告知
- 关于Progress Flowmon命令注入漏洞(CVE-2024-2389)的安全告知
- 关于Apache Zeppelin Shell解释器命令执行漏洞(CVE-2024-31861)的安全告知
- 关于MajorDoMo命令执行漏洞(CVE-2023-50917)的安全告知
- 关于D-Link产品远程命令执行漏洞(CVE-2024-3273)的安全告知
- 关于Palo Alto Networks PAN-OS 命令注入漏洞(CVE-2024-3400)的安全告知
- 关于Aiohttp路径遍历漏洞(CVE-2024-23334)的安全告知
-
- 关于WordPress WP Automatic 插件SQL注入漏洞(CVE-2024-27956)的安全告知
- 关于ZenML服务器远程权限提升漏洞(CVE-2024-25723)的安全告知
- 关于禅道项目管理系统身份绕过漏洞的安全告知
- 关于CrushFTP任意文件读取漏洞(CVE-2024-4040)的安全告知
- 关于Progress Flowmon命令注入漏洞(CVE-2024-2389)的安全告知
- 关于Apache Zeppelin Shell解释器命令执行漏洞(CVE-2024-31861)的安全告知
- 关于MajorDoMo命令执行漏洞(CVE-2023-50917)的安全告知
- 关于D-Link产品远程命令执行漏洞(CVE-2024-3273)的安全告知
- 关于Palo Alto Networks PAN-OS 命令注入漏洞(CVE-2024-3400)的安全告知
- 关于Aiohttp路径遍历漏洞(CVE-2024-23334)的安全告知
-
- 关于WordPress WP Automatic 插件SQL注入漏洞(CVE-2024-27956)的安全告知
- 关于ZenML服务器远程权限提升漏洞(CVE-2024-25723)的安全告知
- 关于禅道项目管理系统身份绕过漏洞的安全告知
- 关于CrushFTP任意文件读取漏洞(CVE-2024-4040)的安全告知
- 关于Progress Flowmon命令注入漏洞(CVE-2024-2389)的安全告知
- 关于Apache Zeppelin Shell解释器命令执行漏洞(CVE-2024-31861)的安全告知
- 关于MajorDoMo命令执行漏洞(CVE-2023-50917)的安全告知
- 关于D-Link产品远程命令执行漏洞(CVE-2024-3273)的安全告知
- 关于Palo Alto Networks PAN-OS 命令注入漏洞(CVE-2024-3400)的安全告知
- 关于Aiohttp路径遍历漏洞(CVE-2024-23334)的安全告知
-
- 关于WordPress WP Automatic 插件SQL注入漏洞(CVE-2024-27956)的安全告知
- 关于ZenML服务器远程权限提升漏洞(CVE-2024-25723)的安全告知
- 关于禅道项目管理系统身份绕过漏洞的安全告知
- 关于CrushFTP任意文件读取漏洞(CVE-2024-4040)的安全告知
- 关于Progress Flowmon命令注入漏洞(CVE-2024-2389)的安全告知
- 关于Apache Zeppelin Shell解释器命令执行漏洞(CVE-2024-31861)的安全告知
- 关于MajorDoMo命令执行漏洞(CVE-2023-50917)的安全告知
- 关于D-Link产品远程命令执行漏洞(CVE-2024-3273)的安全告知
- 关于Palo Alto Networks PAN-OS 命令注入漏洞(CVE-2024-3400)的安全告知
- 关于Aiohttp路径遍历漏洞(CVE-2024-23334)的安全告知
开源内容管理框架Drupal曝远程代码执行漏洞
时间:2019-02-26 16:01:51来源:信息安全服务部作者:开yun体育官网入口
2月21日,开yun体育官网入口注意的Drupal在发布的重要安全更新中修补了一个远程代码执行漏洞,漏洞编号为CVE-2019-6340。分析表明,成功利用允许攻击者在目标主机上远程执行任意代码。
漏洞的成因
Drupal团队在披露该漏洞时表示,“某些字段类型并未正确地清洁非表单来源数据,在某种情况下可导致任意PHP代码执行。”
如果网站由Drupal 8内核驱动,且启用了RESTful Web Service (rest)模块,且处理PATCH或POST请求,或该网站启用了另外的web服务如Drupal 8中的JASON:API或Drupal 7中的Services或RESTful Web Services,则易受攻击。
漏洞的影响
如漏洞被成功利用,则可导致任意PHP代码远程执行。具体受影响的版本如下:
Drupal 8.6.x(Drupal 8.6.10不受影响)
Drupal 8.5.x或更早版本(Drupal 8.5.11不受影响)
Drupal 7贡献的几个模块可能受此影响
漏洞的应对措施
对于运行Drupal 8的用户,可以通过更新到版本8.6.10或8.5.11。更新Drupal核心后,请务必为贡献的项目安装任何可用的安全更新。
Drupal 7不需要核心更新,但是几个Drupal 7贡献的模块确实需要更新。
想要立即缓解此漏洞,可以禁用所有Web服务模块,或将Web服务器配置为不允许对Web服务资源的PUT/PATCH/POST请求。此处需注意,Web服务资源可能在多个路径上可用,具体取决于服务器的配置。对于Drupal 7,这些资源可通过路径(清洁的URL)和通过‘q’查询参数的多种参数获取。对于Drupal 8而言,当路径以index.php/为前缀时,路径可能仍然起作用。