站長們注意啦！開源CMS Drupal 8發布更新修複多處高危漏洞補丁，提示您升級

據外媒報道， Drupal 研究人員於 8 月 16 日發布安全報告，宣稱已修複 Drupal 8 多處漏洞並在線更新安全補丁。研究顯示這些漏洞影響 Drupal 8 多個係統組件，包括實體訪問係統、REST API 與部分視圖組件。

研究人員發現 Drupal 8.3.7 中存在一處高危漏洞（CVE-2017-6925），影響實體訪問係統，允許攻擊者查看、創建、刪除或更新實體。不過，該漏洞僅影響不具備 UUID 實體，以及對同一實體不同版本有多種訪問限製的實體係統。

在 Drupal 8 中存在另一繞過訪問權限的關鍵漏洞（CVE-2017-6924），即當無訪問權限的任何用戶駐留在 REST API 時，允許通過 REST 發布評論。目前，此漏洞已被評估為高危漏洞，因為它影響具有 RESTful Web 服務模塊與啟用注釋實體 REST 資源的站點。

在 Drupal 8 中還存在另一關鍵漏洞（CVE-2017-6923）影響視圖組件。當用戶創建視圖時，可以選擇使用 Ajax 通過過濾器參數更新數據。不過，視圖子模塊僅對配置為 Ajax 的視圖進行訪問。如果用戶對視圖具有訪問限製，那麼可以減輕係統損失，即使用戶正使用另一模塊顯示。

目前，Drupal 官方安全研究人員建議用戶盡快全盤檢測係統並將 Drupal 升級至最新版本。
點擊可查看Drupal官方公告詳情

受影響版本:

Drupal core 8.x 版本和 8.3.7之前的版本

安全版本:

Drupal 7 core不受影響

安全方案:

阿裏雲安全團隊建議使用了Drupal 8的用戶關注並及時更新到官方最新版8.3.7 。

情報來源:

HackerNews:https://hackernews.cc/archives/13634

最後更新：2017-08-21 10:02:25