开源框架 Drupal 修复多个访问绕过和 CSRF 漏洞
聚焦源代码安全,网罗国内外最新资讯!
编译:代码卫士
本周三,Drupal 开发人员通知用户称已发布 Drupal 8.9、9.1和9.2版本更新,修复了五个可导致跨站请求伪造 (CSRF) 和访问绕过的漏洞。
其中三个缺陷和访问绕过有关,涉及 JSON:API、REST/File 和 QuickEdit模块,可导致攻击者访问数据或上传任意文件,但实施攻击需满足某些条件。
这些 CSRF 缺陷影响 Media 和 QuickEdit 模块。Drupal 开发人员表示,如漏洞遭利用,可分别导致受信任用户可访问的页面遭 HTML 代码注入和可能的数据完整性问题。
Drupal 按照NIST的常见滥用评分系统对这些漏洞进行了评分,均为“中危”级别,相当于CVSS 评分的“中危”级别。
这些漏洞已在 Drupal 版本9.2.6、9.1.13和8.9.19中修复。Drupal 7 不受影响,8.9.x之前的Drupal 8 版本以及9.1.x之前的 Drupal 9版本已达生命周期,因此将不会收到修复方案。
这是Drupal 今年发布的第六轮安全更新。针对 Drupal 的攻击虽然没有 WordPress 多,不过毕竟 Drupal 仅在1%的网站上使用,而 WordPress 的使用比例是42%。此前黑客曾大规模攻击 Drupal 网站,因此用户不应忽视补丁。
【开奖啦!!!!!】
限时赠书|《软件供应链安全—源代码缺陷实例剖析》新书上市
上次的限时赠书活动中奖名单已出炉,恭喜以下同学中奖,请未填写地址的同学在微信后台私信地址,我们已经发出部分书籍啦。
@whyseu @。@HFwuhome@惊蛰 @nimo @XuZ @淡然 @Marco韬 @王孟 @Wecat@nwnλ @MOBE @湘北二两西香葱@※ @搬砖小土妞@云烟过眼 @r00t@小风 @傲雪@最好走的路是套路 @Zhao.xiaojun @浅笑淡然 @X-Star @Erick2013 @小秦同学 @X @王骏 @欢寻 @nbp@Mr. Guo
大家可移步京东电子工业出版社一睹为快!或直接点击“原文链接”购买。
如下是本书相关讲解:
推荐阅读
Drupal 紧急修复已遭利用的严重 0day
Drupal 修复远程代码执行漏洞
开源内容管理系统Drupal 修复信息泄露和 XSS 漏洞
开源 CMS Drupal 修复 XSS 和开放重定向漏洞
原文链接
https://www.securityweek.com/several-access-bypass-csrf-vulnerabilities-patched-drupal
题图:Pixabay License
本文由奇安信编译,不代表奇安信观点。转载请注明“转自奇安信代码卫士 https://codesafe.qianxin.com”。
奇安信代码卫士 (codesafe)
国内首个专注于软件开发安全的产品线。
觉得不错,就点个 “在看” 或 "赞” 吧~
开源框架 Drupal 修复多个访问绕过和 CSRF 漏洞相关推荐
- 不会php可以学drupal吗,!!!PHP开源框架Drupal怎么样?不适合中国
PHP开源框架Drupal怎么样? 首先我想说在中国请不要使用drupal,也不要学习drupal,真的,最近刚刚用drupal做了一个商业网站,drupal不适合中国绝对不是危言耸听. 好,现在开始 ...
- 开源 CMS Drupal 修复 XSS 和开放重定向漏洞
聚焦源代码安全,网罗国内外最新资讯! 编译:奇安信代码卫士团队 开源 CMS Drupal 的更新修复了跨站脚本 (XSS) 漏洞和开放重定向漏洞,不过这些它们仅被评为"中危"级 ...
- 开源内容管理系统Drupal 修复信息泄露和 XSS 漏洞
聚焦源代码安全,网罗国内外最新资讯! 编译:奇安信代码卫士团队 本周,开源的内容管理系统 Drupal 修复了多个信息泄露和跨站点脚本 (XSS) 漏洞,其中包括一个"严重"级别 ...
- 开源工具 PrivateBin 修复XSS 漏洞
聚焦源代码安全,网罗国内外最新资讯! 编译:代码卫士 PrivateBin 是热门 ZeroBin 的一个分叉,它是一款在线工具,用于存储信息并通过 256位 AES 在浏览器中加密/解密,即服务器 ...
- Drupal 修复远程代码执行漏洞
聚焦源代码安全,网罗国内外最新资讯! 编译:奇安信代码卫士团队 周三,Drupal 内容管理系统 (CMS) 发布更新,修复了和不正确清理所上传文件名称有关的一个远程代码执行漏洞 (CVE-2020 ...
- Apache Shiro 1.6.0 发布!修复绕过授权高危漏洞
点击上方蓝色"程序猿DD",选择"设为星标" 回复"资源"获取独家整理的学习资料! 作者 | 冷冷zz 来源 | https://www.o ...
- 值得推荐的C/C++开源框架和库
原文链接:http://coolshell.info/c/c++/2014/12/13/c-open-project.htm 留档备查,非常强大的C/C++开源项目总结文档- 值得学习的C语言开源项目 ...
- 值得学习的C/C++开源框架(转)
值得学习的C语言开源项目 - 1. Webbench Webbench是一个在linux下使用的非常简单的网站压测工具.它使用fork()模拟多个客户端同时访问我们设定的URL,测试网站在压力下工作的 ...
- 谷歌修复 Chrome 站点隔离绕过漏洞
聚焦源代码安全,网罗国内外最新资讯! 编译:代码卫士 一名安全研究员表示,旨在加速Chrome 网页加载速度的service worker特性中含有一个漏洞,可导致攻击者绕过Chrome 浏览器的站 ...
最新文章
- ubuntu搭建nginx环境
- 链接3: SQL语句教程
- 在Flash中利用PCRE正则式漏洞CVE-2015-0318的方法
- 每日一皮:当我突然有一个很棒的调试想法...
- 【AI2】更新app inventor离线开发环境百度网盘下载链接,安卓app图形化开发环境...
- HDU 3591 The trouble of Xiaoqian
- Common sql statement
- 成功更新至Win8.1 update
- 走线画直线_画画教程,只用1支铅笔,教你画一幅毛绒小熊
- if js 判断成绩等级_Java判断语句的语法和使用
- 用一套键盘鼠标同时控制两台电脑
- java编写文本编辑器_基于java实现文本编辑器.doc
- 基本知识 100028
- USB转串口那些事儿—USB转串口工作原理及应用
- Docker官方文档学习笔记(二):Docker Desktop入门
- Java学习里程-----Java基础_26 BigDecimal类
- UBUNTU-16.04.07和PREEMPT_RT日志
- 滴滴二面:Kafka是如何读写副本消息的?
- Anaconda安装报错(Failed to create Anaconda menus)
- linux内核参数分析,linux内核启动第一阶段分析
热门文章
- window下用主机名登录MySQL数据库出现报错解决方案
- Rocky4.2下安装达梦(DM)6数据库
- RegOpenKeyEx返回 2及原因
- [导入]在asp.net中实现观察者模式,或有更好的方法(续)
- Elasticsearch聚合 之 Ip Range IP地址范围聚合
- eclipse 取消置顶
- Django项目部署:使用uwsgi和nginx的方式
- motion加树莓派打造实时监控
- Kickstart+HTTP+DHCP+TFTP全自动批量安装部署Linux系统
- 通过xsl显示和输出XML数据