Drupal 17日发布更新SA-CORE-2018-006

Drupal于17日发布安全更新SA-CORE-2018-006，升级至8.6.2版本，修复了5个安全漏洞，其中2个为RCE漏洞。该补丁适用版本为7.x与8.x。其中两个高危漏洞均为RCE漏洞。

Drupal 7/8存在注入漏洞

在Drupal的DefaultMailSystem::mail()中存在注入，可导致远程代码执行。

漏洞产生于未经校验的$message[‘headers’][‘Return-Path’]传入mail函数的第五个参数extra中，造成执行mail函数时的远程代码执行。

Drupal 8 Contextual Links验证漏洞

Contextual Links模块验证请求链接时出现问题导致远程代码执行，不过需要攻击者拥有访问Contextual Links权限，因此利用情景较为有限。

缓解措施

Drupal 7.x相关用户，可升级至7.60。

Drupal 8.6.x相关用户，可升级至8.6.2。

Drupal 8.5.x相关用户，可升级至8.5.8。