【漏洞详情】

由于Drupal 未严格效验RESTful Web参数，当系统开启RESTful Web服务，并接受PATCH 、POST请求，或开启了其他web服务模块时，则存在反序列化漏洞，攻击者可利用此漏洞绕过权限控制，直接在 Web 服务器上执行任意 PHP 代码，造成服务器被入侵、用户信息泄露等。

【风险评级】

高危

【影响范围】

漏洞影响Drupal 8.6.x、Drupal 8.5.x 及 Drupal 7中的部分组件，详细版本信息如下：

 Drupal 8.6.9 及以下版本

Drupal 8.6.10 及以下版本 

影响组件 

          l  RESTful Web Services

          l  JSON:API

          l  Link

          l  Metatag

          l  Video

          l  Paragraphs

          l  Translation Management Tool

          l  Font Awesome lcons

【修复建议】

请受影响的用户结合业务需求综合评估安全影响，可通过如入方案修复：

方案1：升级最新Drupal版本，更新地址：https://www.drupal.org/project/drupal/releases/8.6.10

方案2：禁用所有Web服务模块，或禁止处理PUT / PATCH / POST请求进行缓解

【参考链接】

https://www.drupal.org/security/contrib

特别提醒：修复漏洞前请进行充分测试，并务必做好数据备份和快照，防止出现意外