Drupal 發布了安全公告以應對發現於 Drupal Core 及 PEAR Archive_tar 程式庫中的多個漏洞,通過認證的攻擊者可從受影響系統的本機PHP檔案或PHAR存檔中執行任意程式碼。
Drupal 8在8.5.x之前的版本亦存在漏洞,唯Drupal已停止向這些版本提供支援,並不會提供安全更新。用戶應把Drupal升級至支援的版本或安排轉致其他支援的技術。
成功攻擊這些漏洞可導致在受影響的系統上遠端執行程式碼。
產品供應商發布了修補程式以應對以上問題。
https://www.drupal.org/sa-core-2019-001
https://www.drupal.org/sa-core-2019-002
https://www.hkcert.org/my_url/zh/alert/19011701
https://www.us-cert.gov/ncas/current-activity/2019/01/16/Drupal-Releases-Security-Updates
https://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2018-1000888