據悉,該漏洞是由研究員丹尼爾·勒加爾(Daniel Schmidt)發現的,名為Drupalgeddon,編號為CVE-2019-11831,該漏洞允許黑客用惡意的phar檔案替換網站的合法檔案文件。Drupal開發者將其標記為中等風險級別,低於近期Drupal漏洞和早期遠程代碼執行漏洞的高風險評級。
Drupal官方發布漏洞公告,稱黑客通過構造包含惡意代碼的Phar文件,可以繞過Drupal core7.x和8.x的PHP組件中用於反序列化保護的攔截器,遠程執行惡意代碼,將影響業務系統的安全。
此外,黑客還可能針對該漏洞開發自動化攻擊程序,植入後門程序,進壹步釋放miner程序或DDoS僵屍木馬等惡意軟件,影響網站正常運行。
截至目前,官方已經發布了修復該漏洞的安全補丁,專家建議站長盡快更新,保護網站。其中,運行Drupal版本的網站需要升級到8.7.1版本,運行8.6或更早版本的網站需要升級到8.6.16版本,運行7版本的網站需要升級到7.67版本,Joomla需要升級到3.9.6版本。