Drupal 站点存在 Symfony 缺陷易受攻击 建议立即修复

Posted 2021-05-02 代码卫士

 聚焦源代码安全，网罗国内外最新资讯！

翻译：360代码卫士团队

流行的开源内容管理系统 Drupal 发布新版，修复可导致站点遭远程控制的一个安全绕过漏洞。

这个漏洞的编号是 CVE-2018-14773，存在于第三方库 Symfony HttpFoundation 组件中。该组件用于 Drupal Core 中，影响 8.5.6 之前所有的 Drupal 8.x 版本。

自从多个项目使用 php 组件中的 web 应用框架 Symfony 后，该漏洞就可能导致很多 web 应用程序易遭攻击。

Symfony 组件漏洞

Symfony 发布安全公告指出，该安全绕过漏洞产生的原因是 Symfony 支持老旧的存在风险的 HTTP 头部。

远程攻击者能通过特殊构造的 “X-Original-URL” 或 “X-Rewrite-URL” HTTP 头部值利用该漏洞，它能覆写请求 URL 中的路径，从而可能绕过访问限制并导致目标系统渲染一个不同的 URL。

该漏洞已在 Symfony 版本2.7.49、2.8.44、3.3.18、3.4.14、4.0.14和 4.1.3中予以修复，而 Drupal 已在最新版本 8.5.6 中修复该问题。

Zend 框架中也存在该缺陷

除 Symfony 之外，Drupal 团队发现类似漏洞还存在 Zend Feed 中和Drupal Core 中包含的Diactoros 库中，并把该漏洞称为“URL 重写漏洞”。

然而，Drupal 表示，虽然Drupal Core 并未使用这个易受攻击的功能，但如果用户站点或模块直接使用了 Zend Feed 或 Diactoros，则建议修复网站。

Drupal 驱动数百万网站，但遗憾的是，自遭受特别严重的远程代码执行漏洞 Drupalgeddon2 后，它就频遭攻击。因此强烈建议用户尽快更新站点以免遭黑客攻击。

 

关联阅读

原文链接

https://thehackernews.com/2018/08/symfony-drupal-hack.html

本文由360代码卫士编译，不代表360观点，转载请注明 “转自360代码卫士www.codesafe.cn”。