首页 > 清静研究 > 清静转达 > 清静通告

宣布时间 2018-08-07

CVE-2018-14773 高 CVSS分值：官方未评定

Drupal < 8.5.6Symfony 2.7.0至2.7.48，2.8.0至2.8.43，3.3.0至3.3.17，3.4.0至3.4.13，4.0.0至4.0.13，4.1.0至4.1.2版本Symfony HttpFoundation组件受此清静问题的影响。

Symfony HttpFoundation组件是Drupal Core中使用的第三方库，该缺陷会影响8.5.6之前的Drupal 8.x版本。Symfony是许多项目正在使用的Web应用程序框架，这意味着CVE-2018-14773误差可能会影响大宗Web应用程序。

该缺陷是由于Symfony支持遗留和危险的HTTP标头。

远程攻击可以通过使用特制的“X-Original-URL”或“X-Rewrite-URL”HTTP标头值来触发该缺陷。

Drupal维护者也发明了一个类似的问题，影响了Drupal Core中使用的 Zend Feed 和 Diactoros 库。这些库受到“URL重写误差”的影响，无论怎样，Drupal团队确认 Drupal Core不使用易受攻击的功效。

使用Zend Feed或Diactoros的网站的治理员需要尽快修补它们。在黑客最先使用CVE-2018-14773误差之前，Drupal治理员需要紧迫修补他们的装置。

尊龙凯时·(中国区)人生就是搏!

这个误差已在Symfony版本2.7.49，2.8.44，3.3.18，3.4.14，4.0.14和4.1.3中修复，Drupal已在其最新版本8.5.6中修补了该问题。

https://www.drupal.org/SA-CORE-2018-005

https://github.com/symfony/symfony/commit/e447e8b92148ddb3d1956b96638600ec95e08f6b

https://www.securityfocus.com/bid/104943/references

https://www.drupal.org/SA-CORE-2018-005

https://www.drupalcenter.de/aggregator/categories/7

https://symfony.com/blog/cve-2018-14773-remove-support-for-legacy-and-risky-http-headers

400-624-3900

+86(10)56631988(港澳专线)

官方微信

官方微博

网御星云合众数据书生电子云子可信

执法声明