Drupal 發布了安全公告以修復 Drupal Core 中的多個漏洞。遠端攻擊者可傳送特製的請求從而繞過訪問限制或在受影響的系統上執行任意程式碼。這些漏洞也可把用戶重新導向致惡意網頁,而這些惡意網頁是由通過認證的攻擊者所建立的。
成功利用這些漏洞可以導致在受影響的系統上繞過保安限制、開放式重新導向或遠端執行程式碼。
產品供應商發布了修補程式以應對以上問題。
https://www.drupal.org/sa-core-2018-006
https://www.hkcert.org/my_url/zh/alert/18101901
https://www.us-cert.gov/ncas/current-activity/2018/10/18/Drupal-Releases-Security-Updates