首页 > 清静研究 > 清静转达 > 清静通告

Drupal焦点组件多个误差清静通告

宣布时间 2019-04-19

误差编号和级别

CVE编号：暂无，，，，，危险级别：高危，，，，，CVSS分值：官方未评定

CVE编号：CVE-2019-10909，，，，，危险级别：高危，，，，，CVSS分值：官方未评定

CVE编号：CVE-2019-10910，，，，，危险级别：高危，，，，，CVSS分值：官方未评定

CVE编号：CVE-2019-10911，，，，，危险级别：高危，，，，，CVSS分值：官方未评定

影响版本

受影响的版本

Drupal 8.5或更早版本，，，，，Drupal 8.6，，，，，Drupal 7

受影响的组件

jQuery < 3.4.0

Symfony 2.7.0 to 2.7.50, 2.8.0 to 2.8.49, 3.4.0 to 3.4.25, 4.1.0 to 4.1.11 and 4.2.0 to 4.2.6

误差概述

Drupal是Drupal社区的一套使用PHP语言开发的开源内容治理系统。。。。。。。Drupal宣布了清静更新，，，，，以解决Drupal Core中的多个安全误差，，，，，这些误差可能允许远程攻击者破损数十万个网站的清静性。。。。。。。

其中一个清静误差是一个跨站点剧本（XSS）误差，，，，，它保存于第三方插件中，，，，，称为JQuery，，，，，这是数百万网站使用的最盛行的JavaScript库，，，，，也预先集成在Drupal Core中。。。。。。。该误差尚未分派CVE编号。。。。。。。

其余三个清静误差保存于Drupal Core使用的Symfony PHP组件中：

CVE-2019-10909

使用PHP模板引擎的表单主题时，，，，，验证新闻未被转义，，，，，当验证新闻可能包括用户输入时，，，，，可能会导致XSS。。。。。。。

CVE-2019-10910

从未过滤的用户输入派生的效劳ID可能导致执行任何恣意代码，，，，，从而导致可能的远程代码执行。。。。。。。

CVE-2019-10911

攻击者可以修改记着我的cookie并作为差别的用户举行身份验证。。。。。。。

误差验证

暂无POC/EXP。。。。。。。

修复建议

现在已有新版本如下，，，，，请用户实时更新。。。。。。。

Drupal 8.6.15

https://www.drupal.org/project/drupal/releases/8.6.15

Drupal 8.5.15

https://www.drupal.org/project/drupal/releases/8.5.15

Drupal 7.66

https://www.drupal.org/project/drupal/releases/7.66

Symfony 2.7.51, 2.8.50, 3.4.26, 4.1.12 and 4.2.7

https://github.com/symfony/symfony/commit/ab4d05358c3d0dd1a36fc8c306829f68e3dd84e2

jQuery 3.4.0

https://blog.jquery.com/2019/04/10/jquery-3-4-0-released/

参考链接

https://www.drupal.org/security

7*24小时效劳热线

400-624-3900

+86(10)56631988(港澳专线)

官方微信

官方微博

网御星云合众数据书生电子云子可信

执法声明

软件升级

投资者关系

清静研究