平台
drupal
组件
drupal
修复版本
10.2.11
10.3.9
11.0.8
10.2.11
10.2.11
10.2.11
10.2.11
CVE-2024-55636是Drupal Core中发现的一个潜在的PHP对象注入漏洞。如果与另一个漏洞结合利用,攻击者可能能够执行任意文件删除操作,从而对系统造成严重破坏。此漏洞影响Drupal Core 9.5.9及更早版本。Drupal已在10.2.11版本中修复了此漏洞,建议用户尽快升级。
CVE-2024-55636 影响 Drupal 核心,存在潜在的 PHP 对象注入漏洞。如果与其他漏洞结合利用,可能导致任意文件删除。需要注意的是,该漏洞目前无法直接利用。CVSS 评分被评为 9.8,表明高风险,但前提条件的存在显著限制了其直接影响。
成功利用 CVE-2024-55636 取决于是否存在另一个漏洞,该漏洞允许操纵传递给 unserialize() 函数的输入。如果没有此前提条件,PHP 对象注入将无法用于文件删除。Drupal 社区正在积极监控情况,并建议保持核心和模块更新,以最大限度地减少潜在风险。
Organizations running Drupal Core versions 9.5.9 and earlier, particularly those with complex module configurations or custom code that might introduce vulnerabilities allowing input to unserialize(), are at risk. Shared hosting environments utilizing Drupal Core are also potentially vulnerable due to the shared nature of the infrastructure.
disclosure
漏洞利用状态
EPSS
8.79% (92% 百分位)
CVSS 向量
主要的缓解措施在于,为了利用此漏洞,必须存在另一个漏洞,允许攻击者将不安全输入传递给 unserialize() 函数。目前,Drupal 核心中没有已知可以满足此要求的漏洞。Drupal 已经实施了预防措施,包括在某些组件的属性中添加类型,以加强安全性并减少攻击面。
Actualice Drupal Core a la última versión disponible. Para las versiones 8.x a 10.2.x, actualice a la versión 10.2.11 o superior. Para las versiones 10.3.x, actualice a la versión 10.3.9 o superior. Para las versiones 11.0.x, actualice a la versión 11.0.8 o superior.
漏洞分析和关键警报直接发送到您的邮箱。
表明高风险,但需要先前的漏洞来限制利用。
是的,强烈建议更新到 10.2.11 或更高版本以应用缓解措施。
目前,Drupal 核心中没有已知可以实现直接利用的漏洞。
保持 Drupal 和所有模块更新,并审查任何第三方模块的安全性。
这是一种允许攻击者将恶意 PHP 对象注入到应用程序中的技术。
上传你的 composer.lock 文件,立即知道是否受影响。