描述:
Drupal 發布了安全公告以應對發現於Drupal core內Phar Stream Wrapper套裝中的一個漏洞。遠端攻擊者可繞過對不安全的反序列化 (insecure deserialization) 的保護,從而攻擊這個漏洞。
受影響的系統:
- Drupal 版本7.x, 8.6.x, 8.7.x
影響:
成功利用這個漏洞可以導致在受影響的系統上遠端執行程式碼。
建議:
產品供應商發布了修補程式以應對以上問題。
- Drupal 8.7.1
https://www.drupal.org/project/drupal/releases/8.7.1
- Drupal 8.6.15
https://www.drupal.org/project/drupal/releases/8.6.16
- Drupal 7.67
https://www.drupal.org/project/drupal/releases/7.67
進一步資訊:
https://www.drupal.org/sa-core-2019-007