作者:綠盟科技
來源:http://blog.nsfocus.net/cve-2018-7600-analysis/?from=timeline&isappinstalled=0
近日,流行的開源內容管理框架Drupal曝出一個遠程代碼執行漏洞,漏洞威脅等級為高危,攻擊者可以利用該漏洞執行惡意代碼,導致網站完全被控制。漏洞對應的CVE編號為CVE-2018-7600。
本篇文章對Drupal 8 – CVE-2017-7600漏洞進行了詳細分析。這個漏洞看起來是一個漏洞,其實我認為,它是由兩個小的雞肋問題組成的。具體是什麼呢?
漏洞分析
這個漏洞的根本原因出在drupal對錶單的渲染上: