【漏洞公告】CVE-2018-7602:Drupal内核远程代码执行漏洞

2018年4月26日,阿里云云盾应急响应中心监测到Drupal官方发布新补丁和安全公告,宣称Drupal 7,8等多个子版本存在远程代码执行漏洞,攻击者可以利用Drupal网站漏洞,需要登录且有删除权限后触发执$ ^ v ~行恶意代U e * l a 2 )码,导致网站g F 5 w l n #被完全控制。

受影响范围:
Drupal 7.x版本,8.4.x版本,8.5.x版本

解决方案:
阿里云安全团队建议使用了Drupal相关版本用户关注并及时更新到官方最新版。

Drupal 7.x版本,更新至7.59版本,更新链接:https://wl G g L t Aww.drupal.org/p4 H M y ` Broject/drupal/releases/7.59

Drupal 8.5.x版本,更新至8.5.3版本,更新链接:https://www.drupal.Q o q Morg/project/drupal/releases/8.5.. q ] { l 1 3 G -3

Drupad A & ? 6 c h 8 wl 8.4.x 版本,更新至8.4.8版本,由于8.4.x版本官方已经不再支持,建议升级至更新8.4.8版本后,再升级至8.5.3版本。更% Y v ) ; &新链接:https://www.drj c ( ~upal.org/projR N = % m fect/drupal/releases/8.4.8


我们会关注后续进展,请随时关注官方6 m F公告。


如有任何问题,可随时通过工单或服务电话95187联系反馈。


阿里云云盾应急响应中心
2018.04.26