高危 Drupal 缓存污染致敏感信息泄漏
CVE编号
N/A利用情况
暂无补丁情况
官方补丁披露时间
2023-09-22漏洞描述
Drupal是使用PHP语言编写的开源内容管理框架(CMF),它由内容管理系统(CMS)和PHP开发框架(Framework)共同构成。2023年9月,官方披露SA-CORE-2023-006 Drupal 缓存污染致敏感信息泄漏漏洞,在特定条件下攻击者可利用JSON:API 报错等配合缓存污染获取相关敏感信息,并可进一步利用。 影响范围 8.7.0 <= Drupal < 9.5.11 10.0 <= Drupal < 10.0.11 10.1 <= Drupal < 10.1.4 安全版本 Drupal 7 系列不受影响 Drupal 10.1.4 及其以上 Drupal 10.0.11 及其以上 Drupal 9.5.11 及其以上 其余版本,官方已停止相关安全支持,建议受影响范围内的均升级至最新版本。解决建议
升级至安全版本及其以上。
参考链接 |
|
|---|---|
| https://www.drupal.org/sa-core-2023-006 |
- 攻击路径 远程
- 攻击复杂度 复杂
- 权限要求 无需权限
- 影响范围 全局影响
- EXP成熟度 未验证
- 补丁情况 官方补丁
- 数据保密性 数据泄露
- 数据完整性 传输被破坏
- 服务器危害 服务器失陷
- 全网数量 N/A
| CWE-ID | 漏洞类型 |
| CWE-200 | 信息暴露 |
Exp相关链接
版权声明
本站原创文章转载请注明文章出处及链接,谢谢合作!
评论