聚焦源代码安全,网罗国内外最新资讯!
翻译:360代码卫士团队
又该更新 Drupal 网站了。
这是 Drupal 一个月内第二次被指易受严重漏洞攻击。该漏洞可导致远程攻击者发动高阶攻击,包括窃取 cookie、记录按键、钓鱼攻击和窃取身份。
Drupal 安全团队发现这款开源的内容管理框架易受跨站点脚本攻击。漏洞存在于预集成于 Drupal 内核的第三方插件 CKEditor 中,该插件旨在帮助网站管理员和用户创建交互性内容。
CKEditor 是一款流行的基于 JavaScript 的WYSIWYG 富文本编辑器,很多网站都在使用它,而且一些流行的 web 项目也预装了它。
CKEditor 发布安全公告称,这个 XSS 漏洞源于 CKEditor 4.5.11 及其后续版本的 “Enhanced Image” 插件中 “img” 标记的验证不正确。它可导致攻击者在受害者浏览器中执行任意 HTML 和 JavaScript 代码并获取对敏感信息的访问权限。
CKEditor 4.3 推出了Enhanced Image 插件,它支持使用编辑器将图像插入内容中的高阶方式。
Drupal 安全团队表示,“这个漏洞产生的原因是,当使用 ‘image2’ 插件(也用于 Drupal 8 内核中)时,有可能在 CKEditor 中执行 XSS。”
CKEditor 已推出 CKEditor 版本4.9.2 修复了这个漏洞,Drupal 安全团队也发布了 Drupal 版本 8.5.2 和 Drupal8.4.7 在 CMS 中修复了该漏洞。
由于 Drupal 7.x 中的 CKEditor 经配置是从 CDN 服务器中加载的,因此它并不受影响。
然而,如果用户手动安装了 CKEditor 插件,那么建议从官网下载该插件并将其更新至最新版本。
Drupal 最近修复了另外一个严重的漏洞 Drupalgeddon2。它是一个远程代码执行漏洞,可导致未经验证的远程攻击者以权限用户身份在默认或常见的 Drupal 安装程序中执行恶意代码,它影响 Drupal 6 至 8 的所有版本。
然而,由于人们不能及时修复系统和网站,Drupalgeddon2 漏洞被指仍然被黑客用于传播密币挖矿机、后门和其它恶意软件。因此,强烈建议用户严肃对待安全公告并将系统和软件更新至最新版本以避免遭受网络攻击。
关联阅读
原文链接
本文由360代码卫士编译,不代表360观点,转载请注明 “转自360代码卫士www.codesafe.cn”。