【風險通告】Drupal遠程代碼執(zhí)行漏洞
2021-01-22 00:00:00
近日����,金山云安全應急響應中心監(jiān)測到Drupal官方發(fā)布安全更新�����,修復了一個遠程代碼執(zhí)行漏洞����,CVE-2020-36193。
該漏洞風險官方評級為嚴重���,建議使用了Drupal的用戶及時將升級到最新版本����,避免遭受惡意攻擊�����。
漏洞描述
Drupal是使用PHP語言編寫的開源內(nèi)容管理框架�。
Drupal使用了PEAR Archive_Tar作為依賴庫��,在處理如.tar�、.tar.gz����、.bz2或.tlz等格式的壓縮包時未對符號鏈接進行嚴格校驗導致目錄穿越���。攻擊者通過上傳特制的 tar 類型文件�,利用解壓過程中的目錄穿越漏洞可以將web shell 解壓至web目錄����,從而獲得 Drupal 服務器控制權限。
風險等級
嚴重
影響版本
Drupal < 9.1.3
Drupal < 9.0.11
Drupal < 8.9.13
Drupal < 7.78
安全版本
Drupal 9.1.3
Drupal 9.0.11
Drupal 8.9.13
Drupal 7.78
修復建議
1. 升級到安全版本;
2. 設置Drupal禁止用戶上傳如.tar���、.tar.gz���、.bz2���、.tlz等格式的壓縮包����。��;
參考鏈接
https://www.drupal.org/sa-core-2021-001
北京金山云網(wǎng)絡技術有限公司
2020/01/22