Drupal 發布了安全公告以應對發現於 Drupal Core 及其模組中的漏洞,攻擊者可對受影響的系統傳送特製的PUT/PATCH/POST請求,從而攻擊這個漏洞。
有報告觀察到針對 CVE-2018-8611 漏洞的攻擊。用家應立即為受影響的系統安裝修補程式,並更新所有受影響的contributed模組,以免增加受到網絡攻擊的風險。
Drupal 8在8.5.x之前的版本沒有安全更新。用戶應把Drupal升級至支援的版本或安排轉致其他支援的技術。
成功攻擊這個漏洞可導致在受影響的系統上遠端執行程式碼。
產品供應商發布了修補程式以應對以上問題。
https://thehackernews.com/2019/02/drupal-hacking-exploit.html
https://www.imperva.com/blog/latest-drupal-rce-flaw-used-by-cryptocurrency-miners-and-other-attackers/
https://www.drupal.org/sa-core-2019-003
https://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2019-6340