【安全通告】Drupal远程代码执行漏洞(CVE-2020-13671 )
2020-11-19 17:06:22 Author: blog.nsfocus.net(查看原文) 阅读量:382 收藏

阅读: 0

综述

北京时间11月19日,Drupal官方发布安全通告称修复了一个远程代码执行漏洞CVE-2020-13671。该漏洞源于Drupal Core没有正确的处理上传文件的文件名,导致后续处理中文件会被错误地解析为其他MIME类型,在特定的配置下,文件可能会被当做PHP解析,从而导致远程代码执行。

受影响产品版本

  • Drupal 9.0.x
  • Drupal 8.9.x
  • Drupal 8.8.x
  • Drupal 7.x

不受影响版本

  • Drupal 9.0.8
  • Drupal 8.9.9
  • Drupal 8.8.11
  • Drupal 7.74

解决方案

目前Drupal官方已经发布了新版本修复了上述漏洞,受影响的用户应尽快升级进行防护。

新版本下载地址如下:

Drupal 9.0:

https://www.drupal.org/project/drupal/releases/9.0.8

Drupal 8.9:

https://www.drupal.org/project/drupal/releases/8.9.9

Drupal 8.8:

https://www.drupal.org/project/drupal/releases/8.8.11

Drupal 7 :

https://www.drupal.org/project/drupal/releases/7.74

同时,用户可以检查已上传的文件中是否存在可疑的文件名,尤其是多个后缀的文件,具体建议可参考官方通告:

https://www.drupal.org/sa-core-2020-012

Spread the word. Share this post!


文章来源: http://blog.nsfocus.net/drupal-1119/
如有侵权请联系:admin#unsafe.sh