drupal-Entity Registration注册模块漏洞预警(无CNNVD编号)

近日，博智安全观测到Drupal 官方发布安全更新，修复SA-CONTRIB-2022-063,Entity Registration注册模块路由注册绕过漏洞。

一、漏洞介绍

Drupal 是 Drupal 社区所维护的一套用 PHP 语言开发的免费、开源的内容管理系统Entity Registration 是其中的一个用户登记注册模块；该模块存在路由注册绕过漏洞，可让攻击者能够创建与节点相关的注册实体，从而未授权访问该注册实体节点。

二、危害影响

受影响版本 >=7.1.0 <7.1.9

三、修复建议

当前POC未公开，请升级至最新版本。

如果您使用 Drupal 7.x 的实体注册模块，请升级到实体注册 7.x-1.9版本

注意：允许非管理员用户管理注册的站点，因为用户可以更新注册主机实体并具有给定注册类型的“更新自己的注册”权限，可能需要为这些用户授予“管理自己的注册”权限安装此升级后保留管理注册的能力。

四、参考链接

https://www.drupal.org/sa-contrib-2022-063#block-system-main-menu