一、概要

近日，Drupal官方發(fā)布了安全更新，其中披露了一個高危級別的遠程代碼執(zhí)行漏洞（CVE-2019-6340）。漏洞是由于傳入 RESTful Web服務(wù)的數(shù)據(jù)在某些字段類型中缺少適當?shù)陌踩^濾造成的，漏洞成功利用可導(dǎo)致目標主機上遠程代碼執(zhí)行。

請使用到Drupal的租戶檢查當前使用的版本，及時升級到安全版本。

利用漏洞：CVE-2019-6340

參考鏈接：

https://www.drupal.org/sa-core-2019-003

二、威脅級別

威脅級別：【嚴重】

（說明：威脅級別共四級：一般、重要、嚴重、緊急。）

三、影響范圍

Drupal < 8.6.10版本

Drupal < 8.5.11版本

四、修復(fù)和緩解方法

修復(fù)方法：

Drupal 8.6.x 版本升級到 Drupal 8.6.10 版本：

https://www.drupal.org/project/drupal/releases/8.6.10

Drupal 8.5.x 或更早期版本, 需升級到 Drupal 8.5.11 版本：

https://www.drupal.org/project/drupal/releases/8.5.11

Drupal 7不需要內(nèi)核更新，但是使用到Drupal 7的貢獻模塊（contributed modules）需進行升級，參考如下：

https://www.drupal.org/security/contrib

緩解措施：

禁用所有Web服務(wù)模塊，或者禁止Web服務(wù)器接受Put/Patch/Post請求。（注意：根據(jù)服務(wù)器的配置，Web服務(wù)可以在多個路徑上訪問。在Drupal 7上，資源通常可以通過路徑以及“q”查詢參數(shù)的結(jié)合進行查詢。對于Drupal 8，若前綴為index.php/，路徑依然可以正常訪問）

注意：修復(fù)漏洞前請將資料備份，并進行充分測試。