近日，我司监测到Drupal官方发布安全公告，由于Drupal使用Guzzle库来处理对外部服务的HTTP请求和响应，因而会受到Guzzle信息泄露漏洞包括CVE-2022-31042和CVE-2022-31043的影响。

Drupal 是一个基于PHP的开源的内容管理系统 (CMS) 平台。

漏洞详情：

• CVE-2022-31042 Drupal Guzzle信息泄露漏洞

漏洞类型：信息泄露

风险等级：高危

漏洞描述：Guzzle中存在信息泄露漏洞，当使用https协议向服务器发起请求，服务器使用http协议重定向到某个URI进行响应，或重定向到另一个主机的URI进行响应时，在这个过程中任何手动添加到初始请求的“cookie”头不会被删除，会进行转发。

• CVE-2022-31043 Drupal Guzzle信息泄露漏洞

漏洞类型：信息泄露

风险等级：高危

漏洞描述：Guzzle 6.5.6及之前版本、7.0.0 到 7.4.3 版本中存在信息泄露漏洞，当使用https协议向服务器发出请求，服务器重定向到http协议的URI进行响应时，从https到http的降级过程中不会删除 Authorization标头，Authorization 标头也会被转发。

影响版本

• Guzzle <= 6.5.6
• 7.0.0 <= Guzzle <= 7.4.3

安全版本

• Guzzle 6.5.7
• Guzzle 7.4.4

修复建议：

官方已发布安全版本，请及时下载更新:

• 如果您使用的是 Drupal 9.4，请更新到Drupal 9.4.0-rc2：https://www.drupal.org/project/drupal/releases/9.4.0-rc2
• 如果您使用的是 Drupal 9.3，请更新到Drupal 9.3.16：https://www.drupal.org/project/drupal/releases/9.3.16
• 如果您使用的是 Drupal 9.2，请更新到Drupal 9.2.21：https://www.drupal.org/project/drupal/releases/9.2.21

请注意，9.2.x 之前的所有 Drupal 9 版本都已结束生命周期，Drupal 8 已经停止维护。Drupal 7 不受漏洞影响。同时：高级用户也可以通过暂时使用drupal/core而不是drupal/core-recommended 然后将 Guzzle 更新到所需版本来解决此问题（Guzzle 用户可升级至Guzzle 6.5.7 或 7.4.4安全版本）。