厦门新闻网移动版

　　比要求的数组多了 #suffix 和 #prefix。不过 Render API 有 children element 的说法：

　　当数组中的参数不以 # 开头时，会当作 children element 进行子渲染，所以我们传入 mail[a][#lazy_builder] ，在进行子渲染的过程中，就会得到一个干净的数组，最终导致命令执行。

　　其他版本本文分析的是 Drupal 8.5.0，对于 8.4.x，在注册时默认没有上传头像处，但是也可以直接进行攻击，对于 Drupal 7，暂时未找到可控点。

　　参考https://research.checkpoint.com/uncovering-drupalgeddon-2/

　　应对策略为避免攻击者进行批量利用从而造成更大影响，腾讯云安全团队对云上与企业用户做了以下两个应对策略：

　　一、如果您 Drupal 服务为官方源码方式安装，腾讯云安全团队建议升级更新。1)Drupal 7.x版本：更新到Drupal 7.58 版本或者应用补丁：

　　https://cgit.drupalcode.org/drupal/rawdiff/?h=7.x&id=2266d2a83db50e2f97682d9a0fb8a18e2722cba5

　　2)Drupal 8.5.x版本：更新到Drupal 8.5.1 版本或应用补丁：

　　https://cgit.drupalcode.org/drupal/rawdiff/?h=8.5.x&id=5ac8738fa69df34a0635f0907d661b509ff9a28f

　　3)Drupal 8.3.x：建议更新到 Drupal 8.3.9 版本或应用补丁：

　　https://cgit.drupalcode.org/drupal/rawdiff/?h=8.5.x&id=5ac8738fa69df34a0635f0907d661b509ff9a28f

　　4)Drupal 8.4.x： 建议更新到 Drupal 8.4.6 版本或应用补丁：

　　https://cgit.drupalcode.org/drupal/rawdiff/?h=8.5.x&id=5ac8738fa69df34a0635f0907d661b509ff9a28f

　　二、部署腾讯云网站管家 WAF 服务腾讯云网站管家 WAF 早在该漏洞公布后，第一时间更新防御规则，已经部署腾讯云网站管家服务的用户将不受此漏洞的威胁影响。

　　腾讯云网站管家 WAF，了解一下

　　 主动监测并及时发现高危 Web 漏洞，0day 漏洞;

　　 腾讯安全团队7×24小时持续响应 0day 漏洞，紧急漏洞问题;

　　 12h 内更新高危漏洞防护补丁，24h 内更新常见通用型漏洞防护补丁;

　　 网站管家云端自动升级针对漏洞的攻击防护策略，全球秒级同步下发;

　　需要防护请点击：

　　https://cloud.tencent.com/product/waf