报告编号：B6-2019-071801

报告来源：360-CERT

报告作者：360-CERT

更新日期：2019-07-18

0x00 漏洞背景

2019 年 07 月 18 日，360CERT监测到17日晚 Drupal 官方发布 SA-CORE-2019-008 漏洞预警，漏洞等级：严重。

仅影响 Drupal 8.7.4 版本,当处于实验性的功能 Workspaces(工作区模块) 开启的时候。部分路径将不受到访问权限管理控制的限制，可以被任意访问。

360CERT 判断漏洞等级中等，危害面一般。 建议 Drupal 用户及时升级，或者停用处于实验性质的功能

0x01 影响版本

Drupal 8.7.4

0x02 修复建议

• 更新版本至 8.7.5
• 停止实验性功能

并且需要运行 update.php 进行更新处理并清除缓存，使用 CDN 的用户建议刷新缓存

0x03 时间线

2019-07-17 Drupal发布预警

2019-07-18 360CERT发布预警

0x04 参考链接

1. Drupal core - Critical - Access bypass - SA-CORE-2019-008 | Drupal.org