首頁 > 安全研究 > 安全通報 > 安全通告

Drupal core訪問權限控制失效漏洞安全通告

發布時間 2019-07-19

漏洞編號和級別


CVE編號:CVE-2019-6342,危險級別:嚴重,CVSS分值:官方未評定


影響版本


受影響的版本


Drupal 8.7.4


漏洞概述


Drupal core是Drupal社區所維護的一套用PHP語言開發的免費、開源的內容管理系統。


在Drupal 8.7.4版本中,當處于實驗性的功能 Workspaces (工作區模塊) 開啟的時候,部分路徑將不受到訪問權限管理控制的限制,可以被任意訪問。


漏洞驗證


暫無POC/EXP。


修復建議


目前廠商已發布新版本以修復漏洞,將Drupal更新到8.7.5版本:https://www.drupal.org/download;


緩解措施:禁用 Workspaces 模塊。


參考鏈接


https://www.drupal.org/sa-core-2019-008 


上一篇 下一篇