【安全播报】Drupal core爆远程代码执行漏洞 创宇盾无需升级即可防御

近日，漏洞提交平台seebug收录了Drupal core远程代码执行漏洞（CNVD-2018-06660，对应CVE-2018-7600）。综合利用上述漏洞，攻击者可实现远程代码执行攻击。

漏洞的综合评级为“高危”

Drupal是一个由Dries Buytaert创立的自由开源的内容管理系统，用PHP语言写成。在业界Drupal常被视为内容管理框架，而非一般意义上的内容管理系统。

Drupal 6，7，8多个子版本存在远程代码执行漏洞，远程攻击者可利用该漏洞执行任意代码，从而影响到业务系统的安全性

安全建议

影响版本：Drupal 6 、Drupal 7.x 、 8.x

建议用户升级到最新版本的Drupal 7 / 8 core

7.58版本升级地址https://cgit.drupalcode.org/drupal/rawdiff/?h=7.x&id=2266d2a83db50e2f97682d9a0fb8a18e2722cba5)

8.5.1版本升级地址https://cgit.drupalcode.org/drupal/rawdiff/?h=8.5.x&id=5ac8738fa69df34a0635f0907d661b509ff9a28f）

如果您正在运行8.3.x，请升级到Drupal 8.3.9或安装此修补程序（https://cgit.drupalcode.org/drupal/rawdiff/?h=8.5.x&id=5ac8738fa69df34a0635f0907d661b509ff9a28f）

如果您正在运行8.4.x，请升级到Drupal 8.4.6或安装此修补程序（https://cgit.drupalcode.org/drupal/rawdiff/?h=8.5.x&id=5ac8738fa69df34a0635f0907d661b509ff9a28f）

漏洞公告发布后，创宇盾安全专家第一时间进行响应。经确认，知道创宇云安全旗下云防御平台 创宇盾 无须升级安全策略即可有效拦截利用该漏洞的攻击。

扫码了解创宇盾

一键接入

等级保护不再担忧