Drupal發布了一個安全公告,以應對發現於Drupal中Symfony library的漏洞。遠端攻擊者可傳送特製的HTTP請求從而攻擊這個漏洞。
Drupal已停止對 Drupal 8.5.x 之前的版本提供支援,以及不再提供保安更新。用戶應安排轉致Drupal的最新版本或其他支援的技術。
成功利用這個漏洞可以導致在繞過受影響系統的保安限制。
產品供應商發布了修補程式以應對以上問題。
https://www.drupal.org/SA-CORE-2018-005
https://www.hkcert.org/my_url/zh/alert/18080701
https://www.us-cert.gov/ncas/current-activity/2018/08/02/Drupal-Releases-Security-Update
http://www.cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2018-14773