Drupal于4月25日发布这是一个安全公告,称高风险漏洞(CVE-2018-7602)影响Drupal 7.x和8.x版本,攻击者可以使用此漏洞以不同方式远程执行代码。Drupal官员表示,这个漏洞与之前的漏洞CVE-2018-7600有关,并且被发现被攻击者利用。

受影响的版本
* Drupal 7.x版本<7.58
* Drupal 8.5.x版本<8.5.1
* Drupal 8.3.x版本<8.3.9
* Drupal 8.4.x版本<8.4.6
未受影响的版本
* Drupal 7.x版本58
* Drupal 8.5.x版本5.1
* Drupal 8.3.x版本3.9
* Drupal 8.4.x版本4.6

Drupal官方已经发布了相应的新版本来修复上述漏洞。请尽快更新和升级受影响的用户。

Drupal 7.58
https://www.drupal.org/project/drupal/releases/7.58
Drupal 8.5.1
https://www.drupal.org/project/drupal/releases/8.5.1
Drupal 8.3.9
https://www.drupal.org/project/drupal/releases/8.3.9
Drupal 8.4.6
https://www.drupal.org/project/drupal/releases/8.4.6

如果用户不方便升级,Drupal还提供临时补丁以防范此漏洞,但强烈建议用户尽快完成升级。

POC 地址 https://github.com/g0rx/CVE-2018-7600-Drupal-RCE

exploit https://www.exploit-db.com/exploits/44449/