声明好好学习，天天向上漏洞描述4月25日，Drupal官方发布通告，DrupalCore存在一个远程代码执行漏洞，影响7.x和8.x版本。据分析，这个漏洞是CVE-2018-7600的绕过利用，两个漏洞原理是一样的，通告还称，已经发现了这个漏洞和CVE-2018-7600的在野利用影响范围Drupal6.x，7.x，8.x复现过程这里使用7.57版本使用vulhub/app/vulhub-mast

文章目录博主介绍一、漏洞编号二、影响范围三、漏洞描述四、环境搭建1、进入CVE-2018-7602环境2、启动CVE-20

CVE-2018-7602这个漏洞是CVE-2018-7600的另一个利用点，只是入口方式不一样。所以，一旦参数可控并且没有经过正确的过滤，就很有可能出问题。

漏洞复现：1.如下图所示，执行以下命令即可复现该漏洞。示例命令为id，如图红框中显示，可以执行该命令。"id"为要执行的命令第一个drupal为用户名第二个drupal为密码python3drupa7-CVE-2018-7602.py-c"id"drupaldrupalhttp://ip:8081/2.得有CVE-2018-7600的PoC。#!/usr/bin/envpython3importr

漏洞复现：1.如下图所示，执行以下命令即可复现该漏洞。示例命令为id，如图红框中显示，可以执行该命令。"id"为要执行的命令第一个drupal为用户名第二个drupal为密码python3drupa7-CVE-2018-7602.py-c"id"drupaldrupalhttp://ip:8081/2.得有CVE-2018-7600的PoC。#!/usr/bin/envpython3importr