2019年5月8日，Drupal官方發布了Drupal core第三方類庫TYPO3/PharStreamWrapper 存在反序列化保護機制可被繞過導致遠程代碼執行的漏洞的公告，官方編號：SA-CORE-2019-007漏洞公告鏈接：https://www.drupal.org/sa-core-2019-007

根據公告，Drupal core　7.x、8.x版本的依賴庫組件Phar Stream Wrapper針對反序列化保護的攔截器可能被繞過，惡意攻擊者通過構造含有惡意代碼的Phar文件實現代碼執行效果，從而影響到業務系統的安全性，漏洞CVE編號：CVE-2019-11831，建議盡快更新到新的無漏洞版本，第三方組件TYPO3/PharStreamWrapper相關漏洞公告鏈接：https://typo3.org/security/advisory/typo3-psa-2019-007/

2
漏洞影響范圍

CVE-2019-11831：第三方依賴庫組件TYPO3/PharStreamWrapper反序列化保護機制可被繞過導致遠程代碼執行漏洞影響Drupal core7.x、8.x版本：

Drupal 7.x版本建議更新到7.67以上版本，下載地址：https://www.drupal.org/project/drupal/releases/7.67

Drupal 8.6.x版本建議更新到8.6.16以上版本，下載地址：https://www.drupal.org/project/drupal/releases/8.6.16

Drupal 8.7.x之前版本，建議更新到8.7.1以上版本，下載地址：https://www.drupal.org/project/drupal/releases/8.7.1

注意：Drupal 8.6.x之前的版本已不再受安全更新支持，建議更新到8.6.x以上版本。

CVE-2019-11831：反序列化保護機制可被繞過導致遠程代碼執行漏洞影響TYPO3/PharStreamWrapper組件2.x和3.x版本，需要更新：

2.x版本，建議更新到2.1.1以上版本

3.x版本，建議更新到3.1.1以上版本

下載地址：https://github.com/TYPO3/phar-stream-wrapper/releases

3
漏洞緩解措施

威脅等級

高危：目前Drupal core的第三方類庫TYPO3/PharStreamWrapper組件漏洞攻擊代碼暫未公開，但攻擊者可以根據代碼補丁比較方法分析漏洞觸發點，進一步開發漏洞利用代碼，建議及時升級安全更新版本，或是部署必要的安全防護設備攔截基于PHP的危險代碼。

威脅推演：此漏洞為遠程代碼執行漏洞，基于全球使用該產品用戶的數量，惡意攻擊者可能會開發針對該漏洞的自動化攻擊程序，實現漏洞利用成功后植入后門程序，并進一步釋放礦工程序或是DDOS僵尸木馬等惡意程序，從而影響到網站服務的正常提供。