CVE-2019-6339 — 神龙十问 AI 深度分析摘要

🚨 **本质**：Drupal Core 内置的 **phar stream wrapper** 存在输入验证错误。 💥 **后果**：远程攻击者可利用该漏洞执行 **任意 PHP 代码**，直接接管服务器。

🔍 **缺陷点**：**输入验证错误**。 📉 **CWE**：数据中未提供具体 CWE ID，但核心问题在于对 Phar 流处理的 **安全性校验缺失**。

🏢 **厂商**：Drupal。 📦 **组件**：Drupal core。 📅 **受影响版本**： - 7.x 版本 < **7.62** - 8.6.x 版本 < **8.6.6** - 8.5.x 版本 < **8.5.9**

👑 **权限**：远程代码执行 (RCE)。 📂 **数据/操作**：攻击者可在服务器上运行 **任意 PHP 代码**，意味着完全控制网站及底层系统。

⚡ **利用门槛**：**低**。 🌐 **认证**：**远程**，无需认证即可触发。 ⚙️ **配置**：利用内置 Phar 流特性，无需特殊服务器配置。

📦 **现成 Exp**：**有**。 🔗 **PoC 来源**： - GitHub: `Vulnmachines/drupal-cve-2019-6339` - GitHub: `Threekiii/Awesome-POC` - GitHub: `vulhub/vulhub` 🌍 **在野利用**：数据未明确提及，但 PoC 公开度高，风险极大。

🔎 **自查方法**： 1. 检查 Drupal 版本号是否在上述 **受影响范围** 内。 2. 扫描是否存在针对 **phar stream wrapper** 的恶意请求。 3. 使用 Vulhub 等环境复现测试。

🛡️ **官方修复**：**已修复**。 📅 **发布时间**：2019-01-22。 🔗 **参考**： - Drupal 官方安全公告：`sa-core-2019-002` - Debian 安全更新：`DSA-4370` / `DLA 1659-1`

🚧 **临时规避**： 1. **立即升级**到安全版本（7.62+ / 8.6.6+ / 8.5.9+）。 2. 若无法升级，考虑 **禁用 Phar 流**（需评估兼容性）或加强 WAF 规则拦截恶意 Phar 数据。 3. 限制服务器对文件上传的权限。

🔥 **优先级**：**极高 (Critical)**。 💡 **见解**：RCE 漏洞且无需认证，属于 **高危紧急** 漏洞。建议 **立即** 打补丁或升级版本，防止服务器被完全控制。