Drupal 修复代码执行等漏洞

Drupal 发布四份安全公告，说明了四个漏洞。其中一个漏洞为“严重”等级的漏洞，其它三个是“中危”级别。Drupal 的评级标准是NIST 常见滥用评级系统而不是CVSS，这四个漏洞的评级为“不太严重”、“中等严重”、“严重”和“高度严重”。

“严重”等级的漏洞编号为CVE-2022-25277，影响 Drupal 9.3和9.4，影响 Drupal 核心。攻击者可上传特殊构造的文件在Apache web 服务器上执行任意PHP代码。

Drupal 开发人员指出，只有具有特定配置的 Apache web服务器受影响。他们建议网站管理员检查服务器中是否存在攻陷迹象。

三个“中危”漏洞也影响 Drupal 内核。如遭利用，可导致XSS攻击、信息泄露或访问绕过攻击。这些漏洞的补丁已包含在 Drupal 9.4.3和9.3.19中。其中的信息泄露漏洞也影响 Drupal 7且修复方案已包含在7.91版本中。

美国网络安全和基础设施安全局 (CISA) 建议 Drupal 用户审计这些安全公告并安装安全补丁。

虽然 Drupal 网站遭受的攻击不如 WordPress 网站严重，但多年来发现的 Drupal 漏洞被恶意人员用于垃圾邮件活动、入侵网站并传播恶意软件等。