7*24小时技术支持
海外CN2服务器(客服1)
近日,网络应急团队监测到Drupal官方发布安全公告,由于Drupal使用Guzzle库来处理对外部服务的HTTP请求和响应,因而会受到Guzzle信息泄露漏洞(包括CVE-2022-31042和CVE-2022-31043)的影响。漏洞详情如下:
CVE-2022-31042 Drupal Guzzle信息泄露漏洞
漏洞类型:信息泄露
风险等级:高危
漏洞描述:Guzzle中存在信息泄露漏洞,当使用https协议向服务器发起请求,服务器使用http协议重定向到某个URI进行响应,或重定向到另一个主机的URI进行响应时,在这个过程中任何手动添加到初始请求的“cookie”头不会被删除,会进行转发。
CVE-2022-31043 Drupal Guzzle信息泄露漏洞
漏洞类型:信息泄露
风险等级:高危
漏洞描述:Guzzle 6.5.6及之前版本、7.0.0 到 7.4.3 版本中存在信息泄露漏洞,当使用https协议向服务器发出请求,服务器重定向到http协议的URI进行响应时,从https到http的降级过程中不会删除 Authorization标头,Authorization 标头也会被转发。
【受影响版本】
Guzzle <= 6.5.6
7.0.0 <= Guzzle <= 7.4.3
【安全版本】
Guzzle 6.5.7
Guzzle 7.4.4
Drupal 是一个基于PHP的开源的内容管理系统 (CMS) 平台。
Copyright 2009-2022 HKBGP Network
