Drupal远程代码执行漏洞

近日,金山云安全应急响应中心监测到Drupal官方发布安全更新,修复了一个远程代码执行漏洞,CVE-2020-36193。
该漏洞官方评级为严重风险,建议使用了Drupal的用户及时升级到最新版本,避免遭受恶意攻击。
漏洞描述
Drupal是使用PHP语言编写的开源内容管理框架。
Drupal使用了PEAR Archive_Tar作为依赖库,在处理如.tar、.tar.gz、.bz2或.tlz等格式的压缩包时未对符号链接进行严格校验导致目录穿越。攻击者通过上传特制的 tar 类型文件,利用解压过程中的目录穿越漏洞可以将web shell 解压至web目录,从而获得 Drupal 服务器控制权限。
风险等级
严重
影响版本
Drupal < 9.1.3
Drupal < 9.0.11
Drupal < 8.9.13
Drupal < 7.78
安全版本
Drupal 9.1.3
Drupal 9.0.11
Drupal 8.9.13
Drupal 7.78
修复建议
1. 升级到安全版本;
2. 设置Drupal禁止用户上传如.tar、.tar.gz、.bz2、.tlz等格式的压缩包。;
参考链接
https://www.drupal.org/sa-core-2021-001

 收藏 (0) 打赏

您可以选择一种方式赞助本站

支付宝扫一扫赞助

微信钱包扫描赞助

未经允许不得转载:番茄网 » Drupal远程代码执行漏洞

分享到: 生成海报

评论 抢沙发

  • QQ号
  • 昵称 (必填)
  • 邮箱 (必填)
  • 网址

像番茄一样 表里如一

表里如一表里如一
切换注册

登录

忘记密码 ?

切换登录

注册

我们将发送一封验证邮件至你的邮箱, 请正确填写以完成账号注册和激活