Drupal Reference模块存在高危漏洞，12万网站面临攻击威胁

4月12日，Drupal安全团队发现第三方模块References中存在一个Critial级别的漏洞，这个漏洞对Drupal社区有巨大的影响，因为至少有12.1万网站使用了该模块。

该模块允许用户在更复杂的信息体系结构之间添加节点之间的引用。

该模块早在2013年2月之后就不再受到开发者支持更新，不过Drupal表示找了一名为此模块作维护的相关人员。4月18日Drupal宣布该漏洞已经在References 7.x-2.2版本中修复，新版本另外还带来了一些新特性，也修复了其他一些漏洞。

Drupal并未公布该漏洞的具体信息，但安全专家认为攻击者完全可以通过对源码的分析自己发现漏洞。

Drupal CMS是黑客的一个特权目标，它试图利用过时插件中的漏洞。Drupal的不少过期插件一直都是攻击者的攻击目标。

在2016年6月，安全专家曾警告说，在公开披露CVE-2014-3704后的19个月内，Drupaldod攻击Drupal网站。

原文地址：http://securityaffairs.co/wordpress/58136/hacking/drupal-references-module-flaw.html