Drupal 发布了安全公告以修复 Drupal Core 中的多个漏洞。远端攻击者可传送特制的请求从而绕过访问限制或在受影响的系统上执行任意程式码。这些漏洞也可把用户重新导向致恶意网页,而这些恶意网页是由通过认证的攻击者所建立的。
成功利用这些漏洞可以导致在受影响的系统上绕过保安限制、开放式重新导向或远端执行程式码。
产品供应商发布了修补程式以应对以上问题。
https://www.drupal.org/sa-core-2018-006
https://www.hkcert.org/my_url/zh/alert/18101901
https://www.us-cert.gov/ncas/current-activity/2018/10/18/Drupal-Releases-Security-Updates