预警：知名CMS Drupal爆严重漏洞，点击链接即可远程控制站点

Drupal CMS 团队已修复一个高危漏洞，攻击者仅凭访问某个 URL 就可控制站点。

Drupal 站点所有人应该立即马上将站点更新至 Drupal 7.56 或 Drupal 8.5.1。

Drupal 团队上周曾公布称将修复“可在数小时内或数天内开发出利用代码”漏洞。这个安全漏洞确实是个严重漏洞，Drupal 团队对它的评分是22分（总分是25分）。

Drupal 受未经认证 RCE 缺陷的影响

这个漏洞的编号是 CVE-2018-7600，它使攻击者运行针对任何 CMS 核心组件的代码，从而有效地控制站点。

攻击者无需在目标站点上注册或认证，所需要做的就是访问一个 URL。

Drupal 团队将这个漏洞命名为 ”Drupalgeddon2”，是跟随于2014年 “Drupalgeddon” 安全漏洞（CVE-2014-3704，SQL 注入，评分25分满分）命名的。后者导致无数 Drupal 站点多年以来一直遭受攻击。

PoC 尚未出现，攻击尚未检测到

虽然目前网上尚未出现 PoC 或利用代码，DNA研究人员已经开始深挖 Drupal 补丁来判断到底修复的是什么问题。

Drupal 开发人员 Jasper Mattson 发现了这个漏洞，它是 Drupal 所述安全审计公司 Druid 的员工。

Drupal 团队表示在公布安全警报时并未发现任何利用该漏洞的攻击，但从 Drupal 官方团队到独立安全研究员都预测该漏洞将在数小时或数天内进入遭活跃利用的状态。

打补丁不应被忽视。即使是 Drupal 主页也被拿下半小时以应用 Drupalgeddon2 补丁。

生命周期已结束的 Drupal 6 也受影响

除了为 Drupal 的两个主要分支 7.x 和 8.x 发布修复方案外，Drupal 团队还为于2016年2月生命周期已结束的分支 6.x 发布了补丁。

Web 防火墙产品预测将在未来几天收到相关更新。

虽然 Drupal 开发人员建议先打补丁，但如果打补丁不成功，则可应用缓解解决方案如用静止的 HTML 页面临时替换 Drupal 站点，这样易受攻击的 Drupal 站点就不会向访客提供易受攻击的 URL。

另外，在应用补丁前，用户应更新正在安装或开发的 Drupal 程序，或完全将它们拿下。

Drupal CMS 的市场份额约9%

BuiltWith.com 指出，Drupal 目前支持超过100万个站点，而且在前1万个最流行站点中的市场份额约为9%。

如果你是 WordPress 管理员并且发现 Drupal 网站所有人运行了一个漏洞即易受攻击的 CMS, 可以去 #Drupalgeddon2 推特标签下贡献一点乐子。

本文由360代码卫士翻译自BleepingComputer

声明：本文来自代码卫士，版权归作者所有。文章内容仅代表作者独立观点，不代表安全内参立场，转载目的在于传递更多信息。如有侵权，请联系 anquanneican@163.com。