【風險通告】Drupal遠程代碼執(zhí)行漏洞
2020-11-19 00:00:00
11月19日��,金山云安全應(yīng)急響應(yīng)中心監(jiān)測到Drupal官方發(fā)布安全更新����,修復(fù)了一個遠程代碼執(zhí)行漏洞�����,CVE-2020-136781�����。
該漏洞風險等級為高危,建議相關(guān)用戶及時將Drupal升級到最新版本�,避免遭受惡意攻擊。
漏洞描述
Drupal是使用PHP語言編寫的開源內(nèi)容管理框架�。Drupal存在遠程代碼執(zhí)行漏洞,由于Drupal core 沒有正確地處理上傳文件中的某些文件名���,攻擊者通過上傳惡意文件����,在某些特定的配置下可能會被當做PHP解析�����,從而導(dǎo)致遠程代碼執(zhí)行���。
風險等級
高危
影響版本
Drupal < 9.0.8
Drupal < 8.9.9
Drupal < 8.8.11
Drupal < 7.7.4
修復(fù)建議
1. 升級到安全版本�;
2. 對Drupal目錄下的文件進行排查���,主要檢查具有多個擴展名的文件���;
安全版本:
Drupal 9.0.8
Drupal 8.9.9
Drupal 8.8.11
Drupal 7.7.4
參考鏈接
https://www.drupal.org/sa-core-2020-012
北京金山云網(wǎng)絡(luò)技術(shù)有限公司
2020/11/19