平台
drupal
组件
drupal
修复版本
10.2.11
10.3.9
11.0.8
10.2.11
10.2.11
10.2.11
10.2.11
CVE-2024-55637是Drupal Core中发现的一个潜在的PHP对象注入漏洞。如果攻击者能够利用此漏洞并结合其他漏洞,则可能导致远程代码执行(RCE)。此漏洞影响Drupal Core 9.5.9及更早版本。Drupal已在10.2.11版本中修复了此漏洞,建议用户尽快升级。
CVE-2024-55637 影响 Drupal Core,揭示了一个潜在的 PHP 对象注入漏洞。虽然该漏洞本身具有 9.8 的 CVSS 分数,表明存在关键风险,但它目前无法直接利用。严重性源于如果与其他漏洞结合,可能导致远程代码执行 (RCE)。PHP 对象注入允许攻击者在代码中操作对象创建,在特定情况下,这可能导致恶意代码的执行。重要的是要注意,此漏洞被认为是潜在的,并且需要第二个漏洞的存在才能触发。
CVE-2024-55637 的利用需要非常具体的上下文。为了触发漏洞,攻击者首先需要在 Drupal Core 或贡献模块中找到一个允许将不安全数据注入到 unserialize() 函数中的漏洞。一旦实现这种注入,攻击者就可以利用 PHP 对象注入漏洞来执行恶意代码。目前,没有已知的活动利用程序利用 Drupal Core 中这种漏洞组合,从而大大降低了即时的风险。
Organizations utilizing Drupal Core versions 9.5.9 and earlier, particularly those with custom modules or themes, are at increased risk. Shared hosting environments running Drupal are also vulnerable, as they may lack control over core updates. Any deployment relying on untrusted input being processed by Drupal's unserialization functions is potentially at risk.
disclosure
漏洞利用状态
EPSS
7.61% (92% 百分位)
CVSS 向量
CVE-2024-55637 的主要缓解措施是升级到 Drupal Core 版本 10.2.11。此更新引入了对属性类型处理的改进,从而更难以利用对象注入漏洞。此外,持续监控 Drupal 网站的安全性至关重要,寻找并解决可能允许将不安全数据注入到 unserialize() 函数中的任何其他漏洞。实施安全编码最佳实践,例如验证和清理所有用户输入,也有助于降低整体安全风险。
Actualice Drupal Core a la última versión disponible. Para las versiones 8.x a 10.2.x, actualice a la versión 10.2.11 o superior. Para las versiones 10.3.x, actualice a la versión 10.3.9 o superior. Para las versiones 11.0.x, actualice a la versión 11.0.8 o superior.
漏洞分析和关键警报直接发送到您的邮箱。
是的,强烈建议升级到版本 10.2.11 以减轻此潜在漏洞。
这是一种允许攻击者在代码中操作对象创建的技术,可能导致恶意代码的执行。
保持 Drupal Core 和贡献模块最新,验证并清理所有用户输入,并监控您网站的安全性。
目前,没有已知的活动利用程序利用 Drupal Core 中此漏洞。
尽快升级到版本 10.2.11。如果无法做到,请实施其他安全措施,例如严格的输入验证。
上传你的 composer.lock 文件,立即知道是否受影响。
视频场景
CVE-2024-55637 的主要缓解措施是升级到 Drupal Core 版本 10.2.11。此更新引入了对属性类型处理的改进,从而更难以利用对象注入漏洞。此外,持续监控 Drupal 网站的安全性至关重要,寻找并解决可能允许将不安全数据注入到 `unserialize()` 函数中的任何其他漏洞。实施安全编码最佳实践,例如验证和清理所有用户输入,也有助于降低整体安全风险。