发布日期：2019-12-20
更新日期：2019-07-31

受影响系统：

Drupal Drupal 8.8.x<8.8.1
Drupal Drupal 8.7.x<8.7.11

不受影响系统：

Drupal Drupal 8.8.1
Drupal Drupal 8.7.11

描述：

---

Drupal是由德赖斯·布伊泰尔特创立的自由开源内容管理系统，用PHP语言写成。

Drupal 8使用的install.php文件中包含一个漏洞，未经身份验证的远程攻击者可以利用该漏洞破坏网站缓存数据，最终造成拒绝服务。

<*来源：vendor
  *>

建议：

---

厂商补丁：

Drupal
------
官方已为受影响产品提供了修复漏洞的最新版本。请相关用户尽快前往官网下载更新防范风险。

另，官方为部分漏洞也提供了缓解措施：

中危访问绕过漏洞
可以通过取消选中/admin/config/media/media-library 上“启用高级用户界面”复选框来缓解此漏洞。（此缓解措施在8.7.x中不适用）

中危拒绝服务漏洞
如果不需要，可以禁止对install.php的访问。

参考链接

Drupal 7.69 下载地址：

https://www.drupal.org/project/drupal/releases/7.69

Drupal 8.7.11下载地址：

https://www.drupal.org/project/drupal/releases/8.7.11

Drupal 8.8.1下载地址：

https://www.drupal.org/project/drupal/releases/8.8.1

浏览次数：1549
严重程度：0（网友投票）