开源漏洞对运行多个CMS的站点构成威胁

开发人员和安全研究人员警告说，运行Drupal，Joomla或Typo3内容管理系统的网站很容易受到可能执行恶意代码的攻击，直到管理员安装刚刚发布的补丁。

该漏洞存在于PharStreamWrapper中，这是一个由CMS制造商Typo3开发和开源的PHP组件。索引为CVE-2019-11831，该漏洞源于路径遍历错误，允许黑客将网站的合法phar存档与恶意存档交换。一药业归档用于在单个文件的方式来分配一个完整的PHP应用程序或库，在多大的Java归档文件捆绑许多Java文件合并为一个文件。

在周三发布的一份咨询报告中，Drupal开发人员将影响其CMS的漏洞严重程度评为中等关键。这远低于最近Drupal漏洞和早期远程执行漏洞的高度严重评级，这些漏洞的名称为“Drupalgeddon”。尽管如此，该漏洞仍然存在足够的风险，管理员应尽快对其进行修补。

“[pharStreemWarapper]漏洞的性质使其依赖于上下文，”发现漏洞的研究员Daniel le Gall告诉Ars。“我在Drupal上发现了这个漏洞，这是我评估严重程度的唯一平台。我目前正在与Drupal谈论使其'关键'而不是'中等批评'，但最终决定掌握在他们手中。”

作为瑞典SCRT SA的一名研究员，Le Gall说他使用Drupal公布的严重等级评定方法对他自己的微积分进行了研究，这使得他认定漏洞应该被评为关键。尽管如此，他还是同意CVE-2019-11831远远低于之前Drupal漏洞的门槛，这可能会被访问​​易受攻击网站的无特权最终用户利用。

“对于没有插件的默认Drupal [网站]，它要求[网站]让用户拥有'管理主题'权利，这是一个很高的先决条件，”他说。这意味着攻击者必须具有有限的管理员权限，例如营销人员或图形设计人员的权限。

“然而，由于Drupal Core的这个漏洞，一些社区模块可能很脆弱，”他补充说。“一旦获得这些权限，该漏洞很容易被利用，但是，有效地导致远程代码执行。”

与此同时，Joomla开发商在周三发布了自己的咨询报告，将严重程度评为低。Typo3开发人员没有为自己的CMS提供严重等级。

运行的网站：

Drupal 8.7应更新到8.7.1

8.6或更早版本应更新至8.6.16

7应该更新到7.67

在Joomla上，这个漏洞影响了版本3.9.3到3.9.5。该修复程序在3.9.6中提供。

Typo3 CMS用户应手动升级到PharStreamWapper版本v3.1.1和v2.1.1，或确保将Composer依赖性提升到这些版本。

标签： 开源漏洞