【漏洞预警】Drupal远程代码执行漏洞CVE-2018-7602

2018年4月25日，Drupal官方团队发布了一则Drupal远程代码执行漏洞的修复公告，同时发布了该漏洞的最新补丁，此漏洞对应的CVE编号为CVE-2018-7602。由官方公告得知，此次补丁的更新主要是为了进一步修复2018年3月28日Drupal曝出的一个远程代码执行漏洞（CVE-2018-7600）。

千里百科

Drupal是使用PHP语言编写的开源内容管理框架（CMF），它由内容管理系统（CMS）和PHP开发框架（Framework）共同构成。其中Framework是指Drupal内核中的功能强大的PHP类库和PHP函数库，以及在此基础上抽象的Drupal API。Drupal综合了强大并可自由配置的功能，能支持从个人博客（Personal Weblog）到大型社区驱动（Community-Driven）的网站等各种不同应用的网站项目，应用十分广泛。并且Drupal的代码在安全性、健壮性上具有世界最高水平，使得国外包括美国白宫、美国某公司、纽约时报、[url=https://baike.baidu.com/item/SONY%22%20%5Ct%20%22https://baike.baidu.com/item/Drupal/_blank]SONY[/url]等多家政府以及机构采用建站，在国内，也有许多高校采用Drupal来建设网站。

漏洞描述

2018年3月28日，官方更新了Drupal远程代码执行漏洞（CVE-2018-7600）的补丁，随后两周，研究人员在网上放出了此漏洞的PoC代码。官方最初的修复主要是对用户输入的带#的数组进行过滤，以防止利用Drupal的渲染数组来利用此漏洞进行攻击。从最新的更新补丁来看，之前官方的处置措施已被攻击者绕过，攻击者仍能利用此漏洞对Drupal站点进行攻击。

从此次更新的补丁来看，主要有两部分有大的变化，第一部分变化是对过滤流程的更新：

2018年3月28日更新布丁中新增的class RequestSanitizer类，其中的sanitize函数采用白名单的方式直接利用stripDangerousValues方法将用户的Query string parameters、Request body parameters、Cookie数据进行判定过滤，过滤的方式即将数组中的#去掉。下图中左侧为Drupal v8.5.2版本中的过滤流程，右侧为最新Drupal v8.5.3的sanitize函数过滤流程。

而Drupal v8.5.3版本在过滤流程中新增了步骤processParameterBag、checkDestination。

新版本的过滤过程中所有的请求参数没有在sanitize函数中直接被过滤，而是调用processParameterBag函数，首先将非白名单中的属性进行过滤，即：

在将非白名单参数过滤完之后，还需要将bag对象中包含的destination对应的值通过UrlHelper::parse进行判断，如果destination对应的属性值中存在URL的查询参数数组，也需要进行过滤处理。

第二部分的变化是在/core/modules/file/src/Element/ManagedFile.php中新增了表单调用渲染函数的过滤代码:

$form_parents = array_filter($form_parents, [Element::class, 'child']);

这部分变化主要是在使用AJAX API调用渲染函数的过程中，将$form_parents

进行过滤，然后才进行渲染函数的处理。

所以从补丁中看出，新的攻击可能出现在具有destination属性处，而官方也在表单调用渲染函数的过程中，对表单元素的处理更加的严格。

影响版本

Drupal 7.x

Drupal 8.x

修复建议

Drupal 7.x请升级到Drupal 7.59版本，

同时官方给出7.X补丁，若用户无法立即升级版本，请更新补丁，补丁地址为：

https://cgit.drupalcode.org/drupal/rawdiff/?h=7.x&id=080daa38f265ea28444c540832509a48861587d0

Drupal 8.5.x请升级到Drupal 8.5.3版本

同时官方给出8.X补丁，若用户无法立即升级版本，请更新补丁，补丁地址为：

https://cgit.drupalcode.org/drupal/rawdiff/?h=8.5.x&id=bb6d396609600d1169da29456ba3db59abae4b7e

Drupal 8.4.x版本请升级到8.4.8版本，同时官方给出8.X补丁，若用户无法立即升级版本，请更新补丁，补丁地址为：

https://cgit.drupalcode.org/drupal/rawdiff/?h=8.5.x&id=bb6d396609600d1169da29456ba3db59abae4b7e

友情提示

Drupal 8.0.x、Drupal 8.1.x、Drupal 8.2.x官方已不再维护，请各位用户升级到官方维护的版本。由于此漏洞威胁性很大，请各位用户尽快升级到官方给出的最新版本，以防出现安全风险。

参考链接

官方链接：https://www.drupal.org/sa-core-2018-004

某公司解决方案

由于CVE-2018-7602漏洞尚未有可以利用的攻击代码，但是漏洞补丁已经发布，预计漏洞的攻击代码很快公开，千里目安全实验室将持续关注此次漏洞进展，最快速度给出完整的解决方案。

某公司安全云在CVE-2018-7600漏洞爆发之初，已完成CVE-2018-7600漏洞检测更新，对所有用户网站探测，保障用户安全。不清楚自身业务是否存在漏洞的用户，可注册信服云眼账号，获取30天免费安全体验。

注册地址：

https://saas.sangfor.com.cn

某公司下一代防火墙已具备防御CVE-2018-7600漏洞的能力，建议部署某公司下一代防火墙的用户开启WAF模块，可轻松抵御此高危风险。

学习了，好

学习了，好文章，硬货

学习了，赶紧升级打补丁

学习，这就去升级去，呵呵！

按套路研究一番，哈哈哈

学习了，赶紧升级打补丁