drupal-Entity Registration注册模块漏洞预警(无CNNVD编号)
近日,博智安全观测到Drupal 官方发布安全更新,修复SA-CONTRIB-2022-063,Entity Registration注册模块路由注册绕过漏洞。
一、漏洞介绍
Drupal 是 Drupal 社区所维护的一套用 PHP 语言开发的免费、开源的内容管理系统Entity Registration 是其中的一个用户登记注册模块;该模块存在路由注册绕过漏洞,可让攻击者能够创建与节点相关的注册实体,从而未授权访问该注册实体节点。
二、危害影响
受影响版本 >=7.1.0 <7.1.9
三、修复建议
当前POC未公开,请升级至最新版本。
如果您使用 Drupal 7.x 的实体注册模块,请升级到实体注册 7.x-1.9版本
注意:允许非管理员用户管理注册的站点,因为用户可以更新注册主机实体并具有给定注册类型的“更新自己的注册”权限,可能需要为这些用户授予“管理自己的注册”权限安装此升级后保留管理注册的能力。
四、参考链接
https://www.drupal.org/sa-contrib-2022-063#block-system-main-menu
特别声明
本站(ZONE.CI)所有文章仅供技术研究,若将其信息做其他用途,由用户承担全部法律及连带责任,本站不承担任何法律及连带责任,请遵守中华人民共和国安全法.
评论