CVE-2014-3704 — 神龙十问 AI 深度分析摘要
本页是神龙十问 AI 深度分析的
摘要版。完整版(更长回答、追问、相关漏洞)需
登录查看 →Q1这个漏洞是什么?(本质+后果)
🚨 **本质**:Drupal 数据库抽象 API 中的 `expandArguments` 函数存在 **SQL 注入** 漏洞。 💥 **后果**:远程攻击者可通过构造恶意数组键值,绕过安全机制,直接执行任意 SQL 命令。
Q2根本原因?(CWE/缺陷点)
🔍 **根本原因**:程序在构造预处理语句时 **未正确转义/处理** 输入。 📉 **缺陷点**:`expandArguments` 函数对带有特制键(keys)的数组处理不当,导致 SQL 注入。
Q3影响谁?(版本/组件)
📦 **影响组件**:Drupal Core(核心系统)。 📅 **受影响版本**:Drupal 7.x 版本,具体为 **7.31 之前**(即 7.0 - 7.31)。 ✅ **安全版本**:7.32 及以上。
Q4黑客能干啥?(权限/数据)
🕵️ **黑客能力**: 1. **上传恶意表单**:利用 Form-Cache 注入。 2. **创建管理员账户**:直接获取最高权限。 3. **数据泄露**:通过 SQL 注入读取或篡改数据库内容。
Q5利用门槛高吗?(认证/配置)
🔓 **利用门槛**:**极低**。 🚫 **无需认证**:这是 **Pre-authenticated**(预认证)漏洞,攻击者无需登录即可发起攻击。 ⚙️ **配置要求**:仅需目标运行受影响版本的 Drupal。
Q6有现成Exp吗?(PoC/在野利用)
💣 **现成 Exp**:**有**。 📂 **知名代号**:被称为 **Drupalgeddon**。 🐍 **工具**:GitHub 上有大量 Python 3 重写的 PoC(如 `AleDiBen/Drupalgeddon`, `RasmusKnothNielsen/Drupalgeddon-Python3` 等),且在野利用广泛。
Q7怎么自查?(特征/扫描)
🔎 **自查方法**: 1. **版本检查**:查看网站根目录 `CHANGELOG.txt` 或 `includes/bootstrap.inc`,确认版本是否 < 7.32。 2. **扫描特征**:使用支持 Drupalgeddon 检测的 WAF 或漏洞扫描器(如 Nuclei, AWVS)。 3. **日志监控**:监控异常的 `form_build_id` 或 `form_token` 参数注入行为。
Q8官方修了吗?(补丁/缓解)
🛡️ **官方修复**:**已修复**。 📜 **补丁版本**:Drupal 7.32 及更高版本。 📅 **发布时间**:2014年10月16日左右发布安全公告(如 Debian DSA-3051)。
Q9没补丁咋办?(临时规避)
⚠️ **临时规避**: 1. **升级**:最推荐,立即升级至 7.32+。 2. **WAF 规则**:部署 Web 应用防火墙,拦截包含特殊字符的 `form_build_id` 或 `form_token` 参数。 3. **限制访问**:若无法升级,暂时限制对 Drupal 表单端点的访问(不推荐,影响业务)。
Q10急不急?(优先级建议)
🔥 **优先级**:**极高 (Critical)**。 🚨 **理由**: 1. **无需认证**,远程直接利用。 2. **后果严重**,可直接获取 Admin 权限。 3. **利用工具成熟**,自动化攻击脚本随处可见。 💡 **建议**:立即升级或应用 WAF 规则,切勿拖延。