聚焦源代码安全,网罗国内外最新资讯!

编译:代码卫士

本周三,Drupal 开发人员通知用户称已发布 Drupal 8.9、9.1和9.2版本更新,修复了五个可导致跨站请求伪造 (CSRF) 和访问绕过的漏洞。

其中三个缺陷和访问绕过有关,涉及 JSON:API、REST/File 和 QuickEdit模块,可导致攻击者访问数据或上传任意文件,但实施攻击需满足某些条件。

这些 CSRF 缺陷影响 Media 和 QuickEdit 模块。Drupal 开发人员表示,如漏洞遭利用,可分别导致受信任用户可访问的页面遭 HTML 代码注入和可能的数据完整性问题。

Drupal 按照NIST的常见滥用评分系统对这些漏洞进行了评分,均为“中危”级别,相当于CVSS 评分的“中危”级别。

这些漏洞已在 Drupal 版本9.2.6、9.1.13和8.9.19中修复。Drupal 7 不受影响,8.9.x之前的Drupal 8 版本以及9.1.x之前的 Drupal 9版本已达生命周期,因此将不会收到修复方案。

这是Drupal 今年发布的第六轮安全更新。针对 Drupal 的攻击虽然没有 WordPress 多,不过毕竟 Drupal 仅在1%的网站上使用,而 WordPress 的使用比例是42%。此前黑客曾大规模攻击 Drupal 网站,因此用户不应忽视补丁。

开奖啦!!!!!】

限时赠书|《软件供应链安全—源代码缺陷实例剖析》新书上市

上次的限时赠书活动中奖名单已出炉,恭喜以下同学中奖,请未填写地址的同学在微信后台私信地址,我们已经发出部分书籍啦。

@whyseu @。@HFwuhome@惊蛰 @nimo @XuZ @淡然 @Marco韬 @王孟 @Wecat@nwnλ @MOBE @湘北二两西香葱@※ @搬砖小土妞@云烟过眼 @r00t@小风 @傲雪@最好走的路是套路 @Zhao.xiaojun @浅笑淡然 @X-Star @Erick2013 @小秦同学 @X @王骏 @欢寻 @nbp@Mr. Guo

大家可移步京东电子工业出版社一睹为快!或直接点击“原文链接”购买。

如下是本书相关讲解:

推荐阅读

Drupal 紧急修复已遭利用的严重 0day

Drupal 修复远程代码执行漏洞

开源内容管理系统Drupal 修复信息泄露和 XSS 漏洞

开源 CMS Drupal 修复 XSS 和开放重定向漏洞

原文链接

https://www.securityweek.com/several-access-bypass-csrf-vulnerabilities-patched-drupal

题图:Pixabay License

本文由奇安信编译,不代表奇安信观点。转载请注明“转自奇安信代码卫士 https://codesafe.qianxin.com”。

奇安信代码卫士 (codesafe)

国内首个专注于软件开发安全的产品线。

 觉得不错,就点个 “在看” 或 "赞” 吧~

开源框架 Drupal 修复多个访问绕过和 CSRF 漏洞相关推荐

  1. 不会php可以学drupal吗,!!!PHP开源框架Drupal怎么样?不适合中国

    PHP开源框架Drupal怎么样? 首先我想说在中国请不要使用drupal,也不要学习drupal,真的,最近刚刚用drupal做了一个商业网站,drupal不适合中国绝对不是危言耸听. 好,现在开始 ...

  2. 开源 CMS Drupal 修复 XSS 和开放重定向漏洞

     聚焦源代码安全,网罗国内外最新资讯! 编译:奇安信代码卫士团队 开源 CMS Drupal 的更新修复了跨站脚本 (XSS) 漏洞和开放重定向漏洞,不过这些它们仅被评为"中危"级 ...

  3. 开源内容管理系统Drupal 修复信息泄露和 XSS 漏洞

     聚焦源代码安全,网罗国内外最新资讯! 编译:奇安信代码卫士团队 本周,开源的内容管理系统 Drupal 修复了多个信息泄露和跨站点脚本 (XSS) 漏洞,其中包括一个"严重"级别 ...

  4. 开源工具 PrivateBin 修复XSS 漏洞

     聚焦源代码安全,网罗国内外最新资讯! 编译:代码卫士 PrivateBin 是热门 ZeroBin 的一个分叉,它是一款在线工具,用于存储信息并通过 256位 AES 在浏览器中加密/解密,即服务器 ...

  5. Drupal 修复远程代码执行漏洞

     聚焦源代码安全,网罗国内外最新资讯! 编译:奇安信代码卫士团队 周三,Drupal 内容管理系统 (CMS) 发布更新,修复了和不正确清理所上传文件名称有关的一个远程代码执行漏洞 (CVE-2020 ...

  6. Apache Shiro 1.6.0 发布!修复绕过授权高危漏洞

    点击上方蓝色"程序猿DD",选择"设为星标" 回复"资源"获取独家整理的学习资料! 作者 | 冷冷zz 来源 | https://www.o ...

  7. 值得推荐的C/C++开源框架和库

    原文链接:http://coolshell.info/c/c++/2014/12/13/c-open-project.htm 留档备查,非常强大的C/C++开源项目总结文档- 值得学习的C语言开源项目 ...

  8. 值得学习的C/C++开源框架(转)

    值得学习的C语言开源项目 - 1. Webbench Webbench是一个在linux下使用的非常简单的网站压测工具.它使用fork()模拟多个客户端同时访问我们设定的URL,测试网站在压力下工作的 ...

  9. 谷歌修复 Chrome 站点隔离绕过漏洞

     聚焦源代码安全,网罗国内外最新资讯! 编译:代码卫士 一名安全研究员表示,旨在加速Chrome 网页加载速度的service worker特性中含有一个漏洞,可导致攻击者绕过Chrome 浏览器的站 ...

最新文章

  1. ubuntu搭建nginx环境
  2. 链接3: SQL语句教程
  3. 在Flash中利用PCRE正则式漏洞CVE-2015-0318的方法
  4. 每日一皮:当我突然有一个很棒的调试想法...
  5. 【AI2】更新app inventor离线开发环境百度网盘下载链接,安卓app图形化开发环境...
  6. HDU 3591 The trouble of Xiaoqian
  7. Common sql statement
  8. 成功更新至Win8.1 update
  9. 走线画直线_画画教程,只用1支铅笔,教你画一幅毛绒小熊
  10. if js 判断成绩等级_Java判断语句的语法和使用
  11. 用一套键盘鼠标同时控制两台电脑
  12. java编写文本编辑器_基于java实现文本编辑器.doc
  13. 基本知识 100028
  14. USB转串口那些事儿—USB转串口工作原理及应用
  15. Docker官方文档学习笔记(二):Docker Desktop入门
  16. Java学习里程-----Java基础_26 BigDecimal类
  17. UBUNTU-16.04.07和PREEMPT_RT日志
  18. 滴滴二面:Kafka是如何读写副本消息的?
  19. Anaconda安装报错(Failed to create Anaconda menus)
  20. linux内核参数分析,linux内核启动第一阶段分析

热门文章

  1. window下用主机名登录MySQL数据库出现报错解决方案
  2. Rocky4.2下安装达梦(DM)6数据库
  3. RegOpenKeyEx返回 2及原因
  4. [导入]在asp.net中实现观察者模式,或有更好的方法(续)
  5. Elasticsearch聚合 之 Ip Range IP地址范围聚合
  6. eclipse 取消置顶
  7. Django项目部署:使用uwsgi和nginx的方式
  8. motion加树莓派打造实时监控
  9. Kickstart+HTTP+DHCP+TFTP全自动批量安装部署Linux系统
  10. 通过xsl显示和输出XML数据