近日,金山云安全应急响应中心监测到Drupal官方发布安全更新,修复了一个远程代码执行漏洞,CVE-2020-36193。
该漏洞官方评级为严重风险,建议使用了Drupal的用户及时升级到最新版本,避免遭受恶意攻击。
漏洞描述
Drupal是使用PHP语言编写的开源内容管理框架。
Drupal使用了PEAR Archive_Tar作为依赖库,在处理如.tar、.tar.gz、.bz2或.tlz等格式的压缩包时未对符号链接进行严格校验导致目录穿越。攻击者通过上传特制的 tar 类型文件,利用解压过程中的目录穿越漏洞可以将web shell 解压至web目录,从而获得 Drupal 服务器控制权限。
风险等级
严重
影响版本
Drupal < 9.1.3
Drupal < 9.0.11
Drupal < 8.9.13
Drupal < 7.78
安全版本
Drupal 9.1.3
Drupal 9.0.11
Drupal 8.9.13
Drupal 7.78
修复建议
1. 升级到安全版本;
2. 设置Drupal禁止用户上传如.tar、.tar.gz、.bz2、.tlz等格式的压缩包。;
参考链接
https://www.drupal.org/sa-core-2021-001
Drupal远程代码执行漏洞
未经允许不得转载:番茄网 » Drupal远程代码执行漏洞
热门文章
相关推荐
- 怎么配置debian12的时间和时区
- win11系统安装了office2024 LTSC专业增强版后没有右键新建word/ppt
- Office2021 专业增强版激活密钥 Office2021 神 key
- NFS的主要配置文件的exports详解
- 扩容卷组报错:Device devsdc excluded by a filter.
- 配置Nginx禁止IP访问只允许域名访问
- debian12中ntpd配置文件详解
- debian12使用ntp时查看有个错误:statistics directory /var/log/ntpsec/ does not exist or is unwriteable, error Permission denied