Drupal Sanitization XSS 漏洞
发布时间 2021-04-220x00 漏洞概述
CVE ID | 时 间 | 2021-04-22 | |
类 型 | XSS | 等 级 | 高危 |
远程利用 | 是 | 影响范围 | |
PoC/EXP | 未公开 | 在野利用 | 否 |
0x01 漏洞详情
Drupal是PHP编写的开源内容管理框架(CMF),它由内容管理系统(CMS)和PHP开发框架(Framework)共同构成,目前已经成为世界上最受欢迎的CMS之一。
2021年04月21日,Drupal发布安全公告,修复了Drupal中的一个XSS漏洞。该漏洞是由于Drupal Core的sanitization API在某些情况下无法正确过滤跨站脚本,攻击者可以通过利用XSS漏洞插入恶意代码、盗取用户信息或进行其它操作。
影响范围
Drupal < 9.1.7
Drupal < 9.0.12
Drupal < 8.9.14
Drupal < 7.80
0x02 处置建议
目前Drupal团队已经修复了此漏洞,建议及时更新至以下版本:
Drupal 9.1.7
Drupal 9.0.12
Drupal 8.9.14
Drupal 7.80
下载链接:
https://www.drupal.org/project/drupal/releases/9.1.7
https://www.drupal.org/project/drupal/releases/9.0.12
https://www.drupal.org/project/drupal/releases/8.9.14
https://www.drupal.org/project/drupal/releases/7.80
注:8.9.x之前的Drupal 8官方已停止支持。此外,安全人员还针对已停止支持的Drupal 6在Github上发布了适用于SA-CORE-2021-002的Drupal 6核心安全更新。
0x03 参考链接
https://www.drupal.org/sa-core-2021-002
https://www.mydropwizard.com/blog/drupal-6-core-security-update-sa-core-2021-002
https://github.com/d6lts/drupal/releases/tag/6.57
0x04 时间线
2021-04-21 Drupal发布安全通告
2021-04-22 VSRC发布安全通告
0x05 附录
CVSS评分标准官网:http://www.first.org/cvss/