100字范文,内容丰富有趣,生活中的好帮手!
100字范文 > 开源框架 Drupal 修复多个访问绕过和 CSRF 漏洞

开源框架 Drupal 修复多个访问绕过和 CSRF 漏洞

时间:2023-07-24 14:46:15

相关推荐

开源框架 Drupal 修复多个访问绕过和 CSRF 漏洞

聚焦源代码安全,网罗国内外最新资讯!

编译:代码卫士

本周三,Drupal 开发人员通知用户称已发布 Drupal 8.9、9.1和9.2版本更新,修复了五个可导致跨站请求伪造 (CSRF) 和访问绕过的漏洞。

其中三个缺陷和访问绕过有关,涉及 JSON:API、REST/File 和 QuickEdit模块,可导致攻击者访问数据或上传任意文件,但实施攻击需满足某些条件。

这些 CSRF 缺陷影响 Media 和 QuickEdit 模块。Drupal 开发人员表示,如漏洞遭利用,可分别导致受信任用户可访问的页面遭 HTML 代码注入和可能的数据完整性问题。

Drupal 按照NIST的常见滥用评分系统对这些漏洞进行了评分,均为“中危”级别,相当于CVSS 评分的“中危”级别。

这些漏洞已在 Drupal 版本9.2.6、9.1.13和8.9.19中修复。Drupal 7 不受影响,8.9.x之前的Drupal 8 版本以及9.1.x之前的 Drupal 9版本已达生命周期,因此将不会收到修复方案。

这是Drupal 今年发布的第六轮安全更新。针对 Drupal 的攻击虽然没有 WordPress 多,不过毕竟 Drupal 仅在1%的网站上使用,而 WordPress 的使用比例是42%。此前黑客曾大规模攻击 Drupal 网站,因此用户不应忽视补丁。

开奖啦!!!!!】

限时赠书|《软件供应链安全—源代码缺陷实例剖析》新书上市

上次的限时赠书活动中奖名单已出炉,恭喜以下同学中奖,请未填写地址的同学在微信后台私信地址,我们已经发出部分书籍啦。

@whyseu @。@HFwuhome@惊蛰 @nimo @XuZ @淡然 @Marco韬 @王孟 @Wecat@nwnλ@MOBE @湘北二两西香葱@※ @搬砖小土妞@云烟过眼 @r00t@小风 @傲雪@最好走的路是套路 @Zhao.xiaojun @浅笑淡然 @X-Star @Erick @小秦同学 @X @王骏 @欢寻 @nbp@Mr. Guo

大家可移步京东电子工业出版社一睹为快!或直接点击“原文链接”购买。

如下是本书相关讲解:

推荐阅读

Drupal 紧急修复已遭利用的严重 0day

Drupal 修复远程代码执行漏洞

开源内容管理系统Drupal 修复信息泄露和 XSS 漏洞

开源 CMS Drupal 修复 XSS 和开放重定向漏洞

原文链接

/several-access-bypass-csrf-vulnerabilities-patched-drupal

题图:Pixabay License

本文由奇安信编译,不代表奇安信观点。转载请注明“转自奇安信代码卫士 ”。

奇安信代码卫士 (codesafe)

国内首个专注于软件开发安全的产品线。

觉得不错,就点个“在看” 或 "赞” 吧~

本内容不代表本网观点和政治立场,如有侵犯你的权益请联系我们处理。
网友评论
网友评论仅供其表达个人看法,并不表明网站立场。