【漏洞详情】
  2月20日,Drupal 官方近日披露了一个严重级别的远程代码执行漏洞(官方编号:SA-CORE-2019-003),该漏洞由于 Drupal Core 部分字段类型没有对非表格源数据进行正确处理导致。
【风险等级】
   高风险
【漏洞风险】
   远程代码执行
【影响版本】
   目前已知受影响版本如下:
   Drupal 8 版本:启用了RESTful Web Services (rest) 模块且允许 PATCH 或 POST 请求,或站点启用了其他 Web 服务模块(如 JSON:API)
   Drupal 7 版本:启用了RESTful Web Services 或其他服务模块
【安全版本】
   Drupal 8.6.x 版本升级到 Drupal 8.6.10 版本
   Drupal 8.5.x 或更早期版本, 需升级到 Drupal 8.5.11 版本
   Drupal 7当前暂无 Core 更新,但使用到的贡献模块(contributed modules)需要进行更新,贡献模块连接可参考:https://www.drupal.org/security/contrib
   Drupal 8.5.x 及之前版本官方已停止安全支持,建议您使用新版本。
【修复建议】
  建议您检查当前 Drupal 版本,参照上述【安全版本】升级到对应的最新版本。

Drupal 8.6.10 版本下载链接:https://www.drupal.org/project/drupal/releases/8.6.10
Drupal 8.5.11 版本下载链接:https://www.drupal.org/project/drupal/releases/8.5.11

缓解方案:  禁用 Drupal 上的所有 Web 模块 或配置 Web 服务器不允许 PUT/PATCH/POST 请求访问 Web 服务资源,详细可参考:https://www.drupal.org/sa-core-2019-003

【漏洞参考】

 

Drupal Core 远程代码执行漏洞通知-唯嘉利亚云安全