项目: drupal核心
日期: 2022-03-21
安全等级: 中危 11∕25 AC:Complex/A:None/CI:None/II:Some/E:Theoretical/TD:Default
漏洞: 第3方库
CVE IDs: CVE-2022-24775
描述:
Drupal使用第3方库Guzzle来处理外部服务的HTTP请求和相应。Guzzle近期发布了一个安全升级,这可能会影响到一些Drupal站点。由于Guzzle已经发布了相关的安全漏洞,这个漏洞对于使用Guzzle做出向HTTP请求的Drupal核心、第三方模块、自定义模块,会造成影响,所以我们额外的发布了这个安全建议。Guzzle将这个安全漏洞评级为低风险。
解决方案:
安装最新版本
-
如果你使用的是Drupal 9.3, 那么升级到 Drupal 9.3.9.
-
如果你使用的是Drupal 9.2, 那么升级到Drupal 9.2.16.
低于Drupal9.2的版本,已经结束了生命周期,官方不再提供安全支持。Drupal8也已经结束了官方支持。
Drupal 7 不受影响.
报告人:
-
Damien McKenna drupal安全小组
修正人:
-
xjm drupal安全小组
-
Alex Pott drupal安全小组
-
Lee Rowlands drupal安全小组
-
Greg Knaddison drupal安全小组
-
Peter Wolanin drupal安全小组
原文:https://www.drupal.org/sa-core-2022-006
