近日，Drupal 发布了新版本的软件，以修补另一个影响其 Drupal 7 和 8 核心的严重远程代码执行（RCE）漏洞（CVE-2018-7602），这是过去 30 天以来 Drupal 被发现的第三个严重漏洞。

Drupal 是一个流行的开源内容管理系统（CMS）软件，为数百万个网站提供支持。但不幸的是，自从披露了一个高度关键的远程代码执行漏洞以来，其 CMS 一直处于被攻击状态。

这个新的漏洞是在探索先前暴露的 RCE 漏洞（名为 drupalddon2 (CVE-2018-7600)）时被发现的。攻击者开发利用 Drupalgeddon2 漏洞将加密货币矿工、后门程序和其他恶意软件注入网站。据悉， drupalddon2 已在 3 月 28 日被修复。

除了这两个缺陷之外，该团队上周还修补了一个中等严重的跨站脚本（XSS）漏洞。该漏洞可能导致远程攻击者发起高级攻击，例如 cookie 盗窃、键盘记录、网络钓鱼和身份盗用等。

根据该团队发布的新报告，新的远程代码执行漏洞（CVE-2018-7602）可能会允许攻击者完全接管易受攻击的网站。由于之前披露的漏洞引起了很多关注，Drupal 敦促所有网站管理员尽快安装新的安全补丁。

如果您正在运行 7.x，请升级到 Drupal 7.59。

如果您正在运行 8.5.x，请升级到 Drupal 8.5.3。

如果您正在运行不再支持的 8.4.x 版本，则需要先将网站更新到 8.4.8 版本，然后尽快安装最新的 8.5.3 版本。

还应该注意的是，只有当您的站点已经为 Drupalgeddon2 漏洞应用了补丁时，新补丁才会生效。

有关该漏洞的技术细节被命名为 Drupalgeddon3，但并未对外公布。Drupal 发言人表示虽然该新漏洞较之前的更加复杂，但目前尚未发现有关该漏洞的任何攻击行为 。

SeeBug 漏洞库：

Drupal core Remote Code Execution(CVE-2018-7602)

Drupal core Remote Code Execution(CVE-2018-7600) (Drupalgeddon2)

创宇盾 无需升级即可防御利用此漏洞进行的渗透攻击。

Drupal 安全公告：

《Drupal core – Highly critical – Remote Code Execution – SA-CORE-2018-004》

(责任编辑：冬天的宇)