一、概要

近日，Drupal官方发布了安全更新，其中披露了一个高危级别的远程代码执行漏洞（CVE-2019-6340）。漏洞是由于传入 RESTful Web服务的数据在某些字段类型中缺少适当的安全过滤造成的，漏洞成功利用可导致目标主机上远程代码执行。

请使用到Drupal的租户检查当前使用的版本，及时升级到安全版本。

利用漏洞：CVE-2019-6340

参考链接：

https://www.drupal.org/sa-core-2019-003

二、威胁级别

威胁级别：【严重】

（说明：威胁级别共四级：一般、重要、严重、紧急。）

三、影响范围

Drupal < 8.6.10版本

Drupal < 8.5.11版本

四、修复和缓解方法

修复方法：

Drupal 8.6.x 版本升级到 Drupal 8.6.10 版本：

https://www.drupal.org/project/drupal/releases/8.6.10

Drupal 8.5.x 或更早期版本, 需升级到 Drupal 8.5.11 版本：

https://www.drupal.org/project/drupal/releases/8.5.11

Drupal 7不需要内核更新，但是使用到Drupal 7的贡献模块（contributed modules）需进行升级，参考如下：

https://www.drupal.org/security/contrib

缓解措施：

禁用所有Web服务模块，或者禁止Web服务器接受Put/Patch/Post请求。（注意：根据服务器的配置，Web服务可以在多个路径上访问。在Drupal 7上，资源通常可以通过路径以及“q”查询参数的结合进行查询。对于Drupal 8，若前缀为index.php/，路径依然可以正常访问）

注意：修复漏洞前请将资料备份，并进行充分测试。