【安全预警】关于 Drupal 远程代码执行漏洞通知

尊敬的腾讯云客户，您好：[size=12.6316px]　　近日，腾讯云安全中心监测到 Drupal 官方发布最新安全通告，披露了多个安全漏洞，其中包含2个严重的远程代码执行漏洞，攻击者可利用该漏洞进行远程命令执行攻击，远程控制服务器及危害业务应用。
       为避免您的业务受影响，腾讯云安全中心建议您及时开展安全自查，如在受影响范围，请您及时进行更新修复，避免被外部攻击者入侵。


【漏洞详情】
   1）DefaultMailSystem::mail() 存在 SQL 注入漏洞，攻击者可以在发送 email 时向一些变量中插入危险命令，从而实现远程代码执行。
   2）攻击者拥有访问 Contextual links 的权限的情况下，利用 Contextual Links 模块没有严格验证 Contextual links 的漏洞，可能导致远程代码执行。


【风险等级】
   高风险

【漏洞风险】
   远程命令执行

【影响版本】
目前已知受影响版本如下：
   Drupal 7.x 版本中低于 7.60 的版本
   Drupal 8.6.x 版本中低于 8.6.2 的版本
   Drupal 8.5.x 版本中低于 8.5.8 的版本


【安全版本】
   Drupal 7.60 版本
   Drupal 8.6.2 版本
   Drupal 8.5.8 版本

【修复建议】
   目前官方已经发布各版本相对应的安全补丁，建议您参照上述【安全版本】升级到对应的最新版本.
   Drupal 7.60 版本下载链接：https://www.drupal.org/project/drupal/releases/7.60
   Drupal 8.6.2 版本下载链接：http://www.drupal.org/project/drupal/releases/8.6.2
   Drupal 8.5.8 版本下载链接：http://www.drupal.org/project/drupal/releases/8.5.8


【漏洞参考】
  1）官方通告：https://www.drupal.org/sa-core-2018-006