漏洞描述
Drupal 官方发布安全公告修复了 Drupal 远程代码执行漏洞(CVE-2020-13671),由于Drupal core 没有正确地处理上传文件中的某些文件名,导致在特定配置下后续处理中文件会被错误地解析为其他MIME类型,未授权的远程攻击者可通过上传特定文件名的恶意文件,从而实现任意代码执行 。请相关用户尽快采取措施进行防护。
Drupal是使用PHP语言编写的开源内容管理框架(CMF),由内容管理系统(CMS)和PHP开发框架(Framework)共同构成。
漏洞编号
CVE-2020-13671
漏洞危害
攻击者利用此漏洞,可实现远程代码执行。
相关用户可通过查看当前使用的Drupal版本来确定是否受该漏洞影响,登录后台后,依次点击“管理”-“日志”-“报告状态”,即可查看当前的应用版本:
如果当前版本在受影响范围内,则存在安全风险。
漏洞等级
高危
受影响版本
- Drupal < 7.7.4
- Drupal < 8.8.11
- Drupal < 8.9.9
- Drupal < 9.0.8
注:8.8.x之前的Drupal 8版本官方已经停止维护。
修复方案
目前官方已发布新版本修复了此漏洞,请受影响的用户尽快升级至对应的新版本进行防护:
| 修复版本 | 下载链接 |
| Drupal 7.7.4 | https://www.drupal.org/project/drupal/releases/7.74 |
| Drupal 8.8.11 | https://www.drupal.org/project/drupal/releases/8.8.11 |
| Drupal 8.9.9 | https://www.drupal.org/project/drupal/releases/8.9.9 |
| Drupal 9.0.8 | https://www.drupal.org/project/drupal/releases/9.0.8 |
参考链接
- https://www.drupal.org/sa-core-2020-012