【風(fēng)險(xiǎn)通告】Drupal遠(yuǎn)程代碼執(zhí)行漏洞
2020-11-19 00:00:00
11月19日,金山云安全應(yīng)急響應(yīng)中心監(jiān)測到Drupal官方發(fā)布安全更新����,修復(fù)了一個(gè)遠(yuǎn)程代碼執(zhí)行漏洞,CVE-2020-136781�。
該漏洞風(fēng)險(xiǎn)等級為高危,建議相關(guān)用戶及時(shí)將Drupal升級到最新版本�,避免遭受惡意攻擊。
漏洞描述
Drupal是使用PHP語言編寫的開源內(nèi)容管理框架�����。Drupal存在遠(yuǎn)程代碼執(zhí)行漏洞�����,由于Drupal core 沒有正確地處理上傳文件中的某些文件名�,攻擊者通過上傳惡意文件�,在某些特定的配置下可能會被當(dāng)做PHP解析,從而導(dǎo)致遠(yuǎn)程代碼執(zhí)行。
風(fēng)險(xiǎn)等級
高危
影響版本
Drupal < 9.0.8
Drupal < 8.9.9
Drupal < 8.8.11
Drupal < 7.7.4
修復(fù)建議
1. 升級到安全版本���;
2. 對Drupal目錄下的文件進(jìn)行排查�����,主要檢查具有多個(gè)擴(kuò)展名的文件�����;
安全版本:
Drupal 9.0.8
Drupal 8.9.9
Drupal 8.8.11
Drupal 7.7.4
參考鏈接
https://www.drupal.org/sa-core-2020-012
北京金山云網(wǎng)絡(luò)技術(shù)有限公司
2020/11/19