Drupal修复三个安全漏洞,包括一个远程执行代码漏洞
字数 1304 2025-08-15 21:31:11

Drupal安全漏洞分析与修复指南

漏洞概述

2020年6月,Drupal发布了安全更新,修复了三个关键安全漏洞,其中最严重的是一个远程代码执行漏洞。这些漏洞影响Drupal 7、8和9版本,需要管理员立即采取行动进行修复。

漏洞详情

1. CVE-2020-13664 - 远程代码执行漏洞

影响版本

  • Drupal 8.x
  • Drupal 9.x

漏洞描述
该漏洞允许攻击者在特定条件下执行任意PHP代码。攻击者需要诱使管理员访问恶意网站,从而在文件系统上创建特殊命名的目录。借助该目录,攻击者可利用此漏洞执行远程代码。

特别说明

  • 主要影响Windows服务器
  • 需要管理员交互(访问恶意网站)
  • 利用条件较为特定但风险极高

修复方案
立即更新至Drupal发布的最新安全版本。

2. CVE-2020-13663 - 跨站请求伪造(CSRF)漏洞

影响版本

  • Drupal 7.x
  • Drupal 8.x
  • Drupal 9.x

漏洞描述
Drupal核心Form API未能正确处理来自跨站请求的特定表单输入,导致可能被利用进行CSRF攻击。

风险影响

  • 允许攻击者通过伪造请求执行未经授权的操作
  • 可能结合其他漏洞提升攻击效果

修复方案
应用Drupal发布的安全补丁。

3. CVE-2020-13665 - 访问绕过漏洞

影响版本

  • Drupal 8.x
  • Drupal 9.x

漏洞描述
JSON:API PATCH请求可能绕过对某些字段的验证。默认情况下,JSON:API以只读模式运行,降低了风险。

特别说明

  • 仅影响将jsonapi.settings配置下的read_only设置为FALSE的站点
  • 默认配置下风险较低

修复方案

  1. 更新至安全版本
  2. 或保持JSON:API为只读模式(推荐)

修复步骤

通用修复方法

  1. 备份网站

    • 完整备份数据库和文件系统
    • 验证备份完整性

  2. 更新Drupal核心

    composer update drupal/core --with-dependencies
drush updatedb
drush cache:rebuild

  3. 验证更新

    • 检查/admin/reports/updates确认版本已更新
    • 测试网站核心功能

针对特定漏洞的额外措施

针对CVE-2020-13664

  • Windows服务器管理员应特别警惕可疑链接
  • 实施严格的访问控制策略
  • 考虑使用非Windows服务器部署关键Drupal站点

针对CVE-2020-13663

  • 审查所有自定义表单处理逻辑
  • 实施额外的CSRF令牌验证

针对CVE-2020-13665

  • 检查JSON:API配置: 
    drush config-get jsonapi.settings
  • 除非必要,保持read_onlyTRUE

长期安全建议

  1. 订阅安全公告

    • 订阅Drupal安全邮件列表
    • 关注官方安全公告

  2. 定期更新

    • 建立定期更新机制
    • 测试环境先行验证更新

  3. 安全加固

    • 实施最小权限原则
    • 使用安全模块如Security Kit
    • 定期安全审计

  4. 监控与响应

    • 部署网站安全监控
    • 建立安全事件响应流程

参考资源

  • Drupal官方安全公告
  • CVE详细描述(MITRE数据库)
  • OWASP Web安全指南

通过及时应用这些修复措施和安全实践,可以显著降低Drupal网站面临的安全风险。

Drupal安全漏洞分析与修复指南 漏洞概述 2020年6月,Drupal发布了安全更新,修复了三个关键安全漏洞,其中最严重的是一个远程代码执行漏洞。这些漏洞影响Drupal 7、8和9版本,需要管理员立即采取行动进行修复。 漏洞详情 1. CVE-2020-13664 - 远程代码执行漏洞 影响版本 : Drupal 8.x Drupal 9.x 漏洞描述 : 该漏洞允许攻击者在特定条件下执行任意PHP代码。攻击者需要诱使管理员访问恶意网站,从而在文件系统上创建特殊命名的目录。借助该目录,攻击者可利用此漏洞执行远程代码。 特别说明 : 主要影响Windows服务器 需要管理员交互(访问恶意网站) 利用条件较为特定但风险极高 修复方案 : 立即更新至Drupal发布的最新安全版本。 2. CVE-2020-13663 - 跨站请求伪造(CSRF)漏洞 影响版本 : Drupal 7.x Drupal 8.x Drupal 9.x 漏洞描述 : Drupal核心Form API未能正确处理来自跨站请求的特定表单输入,导致可能被利用进行CSRF攻击。 风险影响 : 允许攻击者通过伪造请求执行未经授权的操作 可能结合其他漏洞提升攻击效果 修复方案 : 应用Drupal发布的安全补丁。 3. CVE-2020-13665 - 访问绕过漏洞 影响版本 : Drupal 8.x Drupal 9.x 漏洞描述 : JSON:API PATCH请求可能绕过对某些字段的验证。默认情况下,JSON:API以只读模式运行,降低了风险。 特别说明 : 仅影响将 jsonapi.settings 配置下的 read_only 设置为 FALSE 的站点 默认配置下风险较低 修复方案 : 更新至安全版本 或保持JSON:API为只读模式(推荐) 修复步骤 通用修复方法 备份网站 : 完整备份数据库和文件系统 验证备份完整性 更新Drupal核心 : 验证更新 : 检查 /admin/reports/updates 确认版本已更新 测试网站核心功能 针对特定漏洞的额外措施 针对CVE-2020-13664 : Windows服务器管理员应特别警惕可疑链接 实施严格的访问控制策略 考虑使用非Windows服务器部署关键Drupal站点 针对CVE-2020-13663 : 审查所有自定义表单处理逻辑 实施额外的CSRF令牌验证 针对CVE-2020-13665 : 检查JSON:API配置: 除非必要,保持 read_only 为 TRUE 长期安全建议 订阅安全公告 : 订阅Drupal安全邮件列表 关注官方安全公告 定期更新 : 建立定期更新机制 测试环境先行验证更新 安全加固 : 实施最小权限原则 使用安全模块如Security Kit 定期安全审计 监控与响应 : 部署网站安全监控 建立安全事件响应流程 参考资源 Drupal官方安全公告 CVE详细描述(MITRE数据库) OWASP Web安全指南 通过及时应用这些修复措施和安全实践,可以显著降低Drupal网站面临的安全风险。