如果你的Drupal博客或商业网站已经很久没有更新过，那么是时候该看看更新方式了。

因为在美国当地时间12月18号，Drupal开发团队为其被广泛使用的开源内容管理软件Drupal发布了一份重要的安全更新通知，在通知内被揭露了一个严重漏洞和三个中危漏洞。
考虑到基于Drupal的网站一直是黑客最喜欢的目标之一，因此强烈建议网站管理员安装最新版本的Drupal 7.69、8.7.11或8.8.1，以防止恶意用户远程攻击站点和服务器。

在通告中揭露的四个漏洞为：

严重:
符号链接漏洞         sa-core-2019-011
漏洞描述：Drupal使用的第三方库 Archive_Tar 中存在漏洞，该库被用于创建、提取和添加tar文件。在Archive_Tar解压带有符号链接文档的过程中存在问题，一旦被成功利用，攻击者便可通过上传恶意的tar文件来覆盖目标服务器上的敏感文件。

中危
访问绕过漏洞         sa-core-2019-011
漏洞描述：Drupal默认媒体库模块中存在一个安全漏洞，可允许低权限用户访问敏感信息。

安全限制绕过漏洞   sa-core-2019-010
漏洞描述：Drupal 8中的file_save_upload()功能不会从文件名中去除前导和结尾处的（’.’），能够上传具有任何扩展名和贡献模块的用户，可以使用它来覆盖任意系统文件，例如.htaccess，以绕过安全性保护。

拒绝服务漏洞         sa-core-2019-009
漏洞描述：Drupal 8使用的install.php文件中包含一个漏洞，未经身份验证的远程攻击者可以利用该漏洞破坏网站缓存数据，最终造成拒绝服务


受漏洞影响的版本为下图


以上所有中危漏洞已通过Drupal版本8.7.11和8.8.1的发布进行了修补， 除了更新版本外，官方社区为部分漏洞也提供了缓解措施。
更多修复细节可官方公告列表

https://www.drupal.org/security

据官方工作人员的透露，是已经存在严重漏洞的验证代码。 这个是真是假这个俺们暂时不晓得（主要还是因为自己技术菜），但是安全公告是已经出来了，还在使用受影响版本的小伙伴还是尽快升级至安全版本吧~