排名全球第三大內容管理系統的Drupal近日傳出含有一個遠端攻擊漏洞,且被列為嚴重等級最高的安全漏洞,可被用來執行本地文件包含(Local file inclusion on Windows)攻擊、假冒攻擊與權限擴張攻擊,危害整個Drupal網站。

Drupal為一以PHP撰寫的開源內容管理框架,根據網路技術調查機構W3Techs的調查,Drupal名列全球第三大內容管理系統,市佔率為4.4%,落後WordPress的60.2%與Joomla的6.3%。

此一編號為CVE-2018-7600的安全漏洞影響Drupal 6、Drupal 7與Drupal 8,且在最高25分的安全風險評分中取得了23分。根據Drupal組織的說明,該漏洞非常容易開採,只要要一般權限造訪Drupal網頁就能開採,所有的非公開資料都可被存取,也可更改或刪除系統資料,幸好現階段尚未傳出任何攻擊行動。根據Drupl官網上使用者數據來估計,全球約有超過100萬個Drupal網站受到影響。

Drupal組織已釋出更新以修補Drupal 6長期支援版(LTS),也釋出了Drupal 7.58供7.x客戶更新,另有供8.5.x客戶升級的Drupal 8.5.1。此外,雖然該組織已不支援Drupal 8.3.x及8.4.x,但有鑑於此一漏洞的嚴重性,決定破例修補這兩個版本,同時建議Drupal用戶最好升級到8.5.x。


熱門新聞

Advertisement