【风险公告】Drupal远程代码执行缝隙
2020-11-19 00:00:00
11月19日�,�,234钱包安全应急响应中心监测到Drupal官方颁布安全更新�,�,修复了一个远程代码执行缝隙�,�,CVE-2020-136781�。�。
该缝隙风险等级为高危�,�,建议有关用户实时将Drupal升级到最新版本�,�,预防遭逢恶意攻击�。�。
缝隙描述
Drupal是使用PHP说话编写的开源内容治理框架�。�。Drupal存在远程代码执行缝隙�,�,由于Drupal core 没有正确地处置上传文件中的某些文件名�,�,攻击者通过上传恶意文件�,�,在某些特定的配置下可能会被当做PHP解析�,�,从而导致远程代码执行�。�。
风险等级
高危
影响版本
Drupal < 9.0.8
Drupal < 8.9.9
Drupal < 8.8.11
Drupal < 7.7.4
修复建议
1. 升级到安全版本;�;
2. 对Drupal目录下的文件进行排查�,�,重要查抄拥有多个扩大名的文件;�;
安全版本�:
Drupal 9.0.8
Drupal 8.9.9
Drupal 8.8.11
Drupal 7.7.4
参考链接
https://www.drupal.org/sa-core-2020-012
北京234钱包网络技术有限公司
2020/11/19