当地时间7月17日,Drupal官方发布安全通告修复了一个访问绕过漏洞(CVE-2019-6342)。在Drupal 8.7.4中,当启用实验性工作区模块(experimental Workspaces module)时,将为攻击者创造访问绕过的条件。Drupal官方将该漏洞定级为严重(Critical)。
官方通告链接:
https://www.drupal.org/sa-core-2019-008
Drupal官方已在8.7.5版本中修复了该漏洞,请受影响的用户尽快升级进行防护。
对于无法立即更新的情况,也可采用缓解措施,即禁用受影响站点上的工作区模块。
注意,还需要进行一些手动操作。对于启用了工作区模块的站点,需要运行update.php以确保清除所需的缓存。如果存在反向代理缓存或CDN,也建议进行清除。
Drupal 8.7.5下载链接:
https://www.drupal.org/project/drupal/releases/8.7.5
评论已关闭。