首頁 > 安全研究 > 安全通報 > 安全通告

Drupal Sanitization XSS 漏洞

發布時間 2021-04-22

0x00 漏洞概述

CVE  ID


時   間

2021-04-22

類   型

XSS

等   級

高危

遠程利用

影響范圍


PoC/EXP

未公開

在野利用

 

0x01 漏洞詳情

image.png

Drupal是PHP編寫的開源內容管理框架(CMF),它由內容管理系統(CMS)和PHP開發框架(Framework)共同構成,目前已經成為世界上最受歡迎的CMS之一。

2021年04月21日,Drupal發布安全公告,修復了Drupal中的一個XSS漏洞。該漏洞是由于Drupal Core的sanitization API在某些情況下無法正確過濾跨站腳本,攻擊者可以通過利用XSS漏洞插入惡意代碼、盜取用戶信息或進行其它操作。

 

影響范圍

Drupal < 9.1.7

Drupal < 9.0.12

Drupal < 8.9.14

Drupal < 7.80

 

0x02 處置建議

目前Drupal團隊已經修復了此漏洞,建議及時更新至以下版本:

Drupal 9.1.7

Drupal 9.0.12

Drupal 8.9.14

Drupal 7.80


下載鏈接:

https://www.drupal.org/project/drupal/releases/9.1.7

https://www.drupal.org/project/drupal/releases/9.0.12

https://www.drupal.org/project/drupal/releases/8.9.14

https://www.drupal.org/project/drupal/releases/7.80


注:8.9.x之前的Drupal 8官方已停止支持。此外,安全人員還針對已停止支持的Drupal 6在Github上發布了適用于SA-CORE-2021-002的Drupal 6核心安全更新。

 

0x03 參考鏈接

https://www.drupal.org/sa-core-2021-002

https://www.mydropwizard.com/blog/drupal-6-core-security-update-sa-core-2021-002

https://github.com/d6lts/drupal/releases/tag/6.57

 

0x04 時間線

2021-04-21  Drupal發布安全通告

2021-04-22  VSRC發布安全通告

 

0x05 附錄

 

CVSS評分標準官網:http://www.first.org/cvss/

image.png

 

上一篇 下一篇