国家信息安全漏洞共享平台（CNVD）收录了Drupal Core远程代码执行漏洞（CNVD-2018-08523，对应CVE-2018-7602）。综合利用上述漏洞，攻击者可实现远程代码执行攻击。部分漏洞验证代码已被公开，近期被不法分子利用进行大规模攻击的可能性较大，厂商已发布补丁进行修复。

一、漏洞情况分析

Drupal是一个由Dries Buytaert创立的自由开源的内容管理系统，用PHP语言写成。Drupal在业界常被视为内容管理框架，而与一般意义上的内容管理系统存在差异。

2018年3月29日，CNVD收录了Drupal 6，7，8多个子版本存在远程代码执行漏洞，远程攻击者可利用该漏洞执行任意代码。但由于Drupal官方对该漏洞修复不完全，导致补丁可以被绕过，造成任意代码执行：Drupal官方发布的漏洞补丁通过过滤带有＃的输入来处理请求数据（GET，POST，COOKIE，REQUEST），但是Drupal应用还会处理path?destination=URL形式的请求，发起请求需要对destination=URL中的URL进行编码，攻击者对URL中的#进行两次编码即可绕过sanitize()函数的过滤，从而实现远程代码执行。

CNVD对该漏洞的综合评级为“高危”。

二、漏洞影响范围

受影响版本：

Drupal的7.x和8.x版本受此漏洞影响。

修复版本：

Drupal 7.59，Drupal 8.5.3，Drupal 8.4.8

CNVD秘书处对该系统在全球的分布情况进行了统计，全球系统规模约为30.9万，用户量排名前五的分别是美国（48.5%）、德国（8.1%）、法国（4%）、英国（3.8%）和俄罗斯（3.7%），而在我国境内分布较少（0.88%）。

三、漏洞修复建议

目前，厂商已发布补丁和安全公告以修复该漏洞，具体修复建议如下：

Drupal 7.x请升级到Drupal 7.59版本。

官方给出7.X版本补丁，若用户无法立即升级版本，请更新补丁。

Drupal 8.5.x请升级到Drupal 8.5.3版本

官方给出8.X版本补丁，若用户无法立即升级版本。

Drupal 8.4.x版本请升级到8.4.8版本，官方给出8.X版本补丁，若用户无法立即升级版本，请更新补丁。