当前位置:首页 > 漏洞预警 > 正文

Drupal 访问权限控制失效漏洞( CVE-2019-6342)

发布时间:2019-07-18 12:16:01,来源:中国信息通信研究院

安全漏洞通告

类型:访问控制漏洞

影响范围:Drupal

危害级别:高危

内容概述

Drupal 8.7.4中存在访问权限控制失效漏洞。CVE编号:CVE-2019-6342。

受影响版本:

Drupal   8.7.4

详细说明

Drupal是使用PHP语言编写的开源内容管理框架(CMF),它由内容管理系统(CMS)和PHP开发框架(Framework)共同构成。

该漏洞影响Drupal 8.7.4 版本,当处于实验性的功能 Workspaces(工作区模块) 开启的时候。部分路径将不受到访问权限管理控制的限制,可以被任意访问。

处理方法和建议

1、漏洞修复建议:

(1)更新Drupal版本至 8.7.5

(2)停止Drupal实验性功能

并且需要运行 update.php 进行更新处理并清除缓存,使用 CDN 的用户建议刷新缓存。

2、参考链接

https://www.drupal.org/sa-core-2019-008