Drupal发布了一个安全公告,以应对发现于Drupal中Symfony library的漏洞。远端攻击者可传送特制的HTTP请求从而攻击这个漏洞。
Drupal已停止对 Drupal 8.5.x 之前的版本提供支援,以及不再提供保安更新。用户应安排转致Drupal的最新版本或其他支援的技术。
成功利用这个漏洞可以导致在绕过受影响系统的保安限制。
产品供应商发布了修补程式以应对以上问题。
https://www.drupal.org/SA-CORE-2018-005
https://www.hkcert.org/my_url/zh/alert/18080701
https://www.us-cert.gov/ncas/current-activity/2018/08/02/Drupal-Releases-Security-Update
http://www.cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2018-14773