首页 > 清静研究 > 清静转达 > 清静通告

Drupal焦点组件多个误差清静通告

宣布时间 2019-04-19

误差编号和级别

CVE编号：暂无，，，危险级别：高危，，，CVSS分值：官方未评定

CVE编号：CVE-2019-10909，，，危险级别：高危，，，CVSS分值：官方未评定

CVE编号：CVE-2019-10910，，，危险级别：高危，，，CVSS分值：官方未评定

CVE编号：CVE-2019-10911，，，危险级别：高危，，，CVSS分值：官方未评定

影响版本

受影响的版本

Drupal 8.5或更早版本，，，Drupal 8.6，，，Drupal 7

受影响的组件

jQuery < 3.4.0

Symfony 2.7.0 to 2.7.50, 2.8.0 to 2.8.49, 3.4.0 to 3.4.25, 4.1.0 to 4.1.11 and 4.2.0 to 4.2.6

误差概述

Drupal是Drupal社区的一套使用PHP语言开发的开源内容治理系统。。。Drupal宣布了清静更新，，，以解决Drupal Core中的多个安全误差，，，这些误差可能允许远程攻击者破损数十万个网站的清静性。。。

其中一个清静误差是一个跨站点剧本（XSS）误差，，，它保存于第三方插件中，，，称为JQuery，，，这是数百万网站使用的最盛行的JavaScript库，，，也预先集成在Drupal Core中。。。该误差尚未分派CVE编号。。。

其余三个清静误差保存于Drupal Core使用的Symfony PHP组件中：

CVE-2019-10909

使用PHP模板引擎的表单主题时，，，验证新闻未被转义，，，当验证新闻可能包括用户输入时，，，可能会导致XSS。。。

CVE-2019-10910

从未过滤的用户输入派生的效劳ID可能导致执行任何恣意代码，，，从而导致可能的远程代码执行。。。

CVE-2019-10911

攻击者可以修改记着我的cookie并作为差别的用户举行身份验证。。。

误差验证

暂无POC/EXP。。。

修复建议

现在已有新版本如下，，，请用户实时更新。。。

Drupal 8.6.15

https://www.drupal.org/project/drupal/releases/8.6.15

Drupal 8.5.15

https://www.drupal.org/project/drupal/releases/8.5.15

Drupal 7.66

https://www.drupal.org/project/drupal/releases/7.66

Symfony 2.7.51, 2.8.50, 3.4.26, 4.1.12 and 4.2.7

https://github.com/symfony/symfony/commit/ab4d05358c3d0dd1a36fc8c306829f68e3dd84e2

jQuery 3.4.0

https://blog.jquery.com/2019/04/10/jquery-3-4-0-released/

参考链接

https://www.drupal.org/security

7*24小时效劳热线

400-624-3900

官方微信

官方微博

执法声明

鉴黑担保网

网络清静防护

网络清静检测

应用清静

数据清静

清静治理

云清静

工控清静

移动及终端清静

密码应用清静

大模子应用清静

专业清静效劳

清静运营中心

知白学院

威胁情报中心

清静团队

售后效劳

公司概况

新闻动态

手艺专题

人才招聘

投资者关系

资源中心

联系鉴黑担保网

清静研究