第三方库中的漏洞可能允许攻击者使用 Drupal CMS 来控制系统。 有可用的更新可以解决该问题。
Drupal 附带 Guzzle 组件,该组件处理 HTTP 请求和对外部服务的响应。 Guzzle 开发人员修复了库中标头处理中的一个漏洞,该漏洞可能允许攻击者注入换行符和不受信任的值。 Guzzle 维护 人员在其安全 评为低
在 Drupal 开发人员的安全公告中 ,他们将该漏洞的风险归类为中等。 它影响 Drupal 版本 9.3.9 和 9.2.16 以及 8 分支,但该分支已达到生命周期结束 (EOL)。 因此,不再有 Drupal 8 的更新; 旧版本的用户应紧急升级到支持的版本。 另一方面,Drupal 7 没有受到该漏洞的影响。
立即安装更新
美国网络安全 机构 CISA 解释了 安全漏洞的影响。 攻击者可以利用该漏洞控制受影响的系统。 因此,它将可用更新分类为“必需”。 但是,没有任何相关方更详细地解释具体攻击是什么样的,例如滥用安全漏洞的操纵 HTTP 请求。
在发行说明中,Drupal 开发人员敦促用户和管理员立即安装更新。 已修复错误的版本 9.3.9 和 9.2.16 可在项目网站上下载。
声明:所有白马号原创内容,未经允许禁止任何网站及个人转载、采集等一切非法引用。本站已启用原创保护,有法律保护作用,否则白马号保留一切追究的权利。发布者:白马号,转转请注明出处:https://www.bmhysw.com/article/9357.html
微信扫一扫 
支付宝扫一扫 
