一、下载地址：

https://ftp.drupal.org/files/projects/drupal-10.0.11.tar.gz

二、发布说明

这是Drupal 10系列的一个安全版本。

此版本修复了安全漏洞（缓存中毒漏洞）。官方强烈建议立即更新，以下是更新的漏洞：

Drupal core - Critical - Cache poisoning - SA-CORE-2023-006 缓存中毒漏洞 ( https://www.drupal.org/sa-core-2023-006)

三、Drupal core - Critical - Cache poisoning - SA-CORE-2023-006 缓存中毒漏洞描述

在某些情况下，Drupal的JSON：API模块将输出错误回溯。对于某些配置，这可能会导致敏感信息被缓存并提供给匿名用户，从而导致权限提升。

此漏洞仅影响启用了JSON:API模块的站点，可以通过卸载JSON:API来缓解。

核心REST和贡献的GraphQL模块不受影响。

Drupal Steward的合作伙伴已经意识到了这个问题。一些平台可能会提供缓解措施。然而，并不是所有的WAF配置都能缓解这个问题，因此如果您的网站使用JSON：API，仍然建议立即更新到此安全版本。

四、Drupal core - Critical - Cache poisoning - SA-CORE-2023-006 缓存中毒漏洞修复

1、如果您正在使用Drupal 10.1，请更新到Drupal 10.1.4。

2、如果您正在使用Drupal 10.0，请更新到Drupal 10.0.11。

3、如果您正在使用Drupal 9.5，请更新到Drupal 9.5.11。

4、Drupal 9.5之前的所有版本都已报废，不接受安全保障。注意，Drupal 8已经到了生命的尽头。

5、Drupal 7不受影响。

五、我应该选择哪个版本？安全覆盖范围信息

1、Drupal 10.0.x将获得安全保障，直到2023年12月Drupal 10.2.0发布。

2、Drupal9.5.x上的站点应该立即更新到Drupal 9.5.11，而不是本版本，但应在2023年11月前更新到Drupal 10。

3、9.5.x之前的Drupal 9版本已经失效，不接受安全更新。

4、Drupal 8已停止更新，不接受安全保障。