Drupal官方近期修复了可导致黑客接管网站的高危漏洞

近期，Drupal CMS团队发布了一个安全更新，以解决CMS核心组件中的一个高危的权限绕过漏洞，该漏洞可导致攻击者直接接管目标站点，被标记为CVE-2019-6342。

根据官方的安全建议，只有少数Drupal CMS网站受到影响，因为该漏洞只影响Drupal 8.7.4，Drupal 8.7.3以及更早版本，Drupal 8.6.x以及更早版本。Drupal 7.x不受影响。

“在Drupal 8.7.4中，一旦启用了Workspaces模块，就有可能导致网站被接管。”

Drupal 8.7.5已修补了漏洞

最新的Drupal 8.7.5已在近期发布，网站管理员可至官网下载以修复漏洞。

此外，根据Drupal开发团队的说法，此次安全修复只适用于运行了update.php的网站——这是升级到Drupal 8.7.5时必备组件。

对于已启用Workspaces模块的站点，需要运行update.php以确保清理出所需缓存。如果存在反向代理缓存或CDN(如Varnish、CloudFlare)，也建议暂时清除这些缓存或关闭CDN。——Drupal团队

需要着重说明的是，这个漏洞可让任意未经过身份验证的攻击者直接通过URL来接管整个网站。

幸运的是，目前还没有发现利用这个漏洞发起的攻击。但是，一旦有攻击者开发出PoC，那么大多数运行着Drupal 8.7.4的网站都有可能被攻击者盯上，因为Workspaces模块是通用模块。

其他防御措施

对于那些无法立即更新Drupal的站点，管理员也可采用其他防御措施，最简单的方法是禁用Workspaces模块。

美国国土安全部网络安全和基础设施安全局(CISA)也发布了一个警告，敦促Drupal管理员将网站升级到最新版Drupal 8.7.5。

目前，全球大概有1093220个网站使用了Drupal，其中290958个使用了Drupal 8.x。这个数据来源于Usage statistics for Drupal core。

需要注意的是，这些统计数字并不精准。这些数据只统计了存在Update Status模块的Drupal站点。而从Drupal 6.x版本开始才有这个模块，所以之前的老版本网站并不包括在内。

此外，根据W3Techs对全球CMS（内容管理系统)网站的统计，1.8%的网站使用Drupal，它已成为互联网上第三大流行的CMS，仅次于Wordpress(34.2%)和Joomla(2.8%)。

本文由白帽汇整理并翻译，不代表白帽汇任何观点和立场
来源：https://www.bleepingcomputer.com/news/security/drupal-patches-critical-bug-that-lets-hackers-take-over-sites/