【風險通告】Drupal遠程代碼執(zhí)行漏洞
2020-11-19 00:00:00
11月19日���,金山云安全應急響應中心監(jiān)測到Drupal官方發(fā)布安全更新��,修復了一個遠程代碼執(zhí)行漏洞����,CVE-2020-136781�����。
該漏洞風險等級為高危����,建議相關(guān)用戶及時將Drupal升級到最新版本,避免遭受惡意攻擊���。
漏洞描述
Drupal是使用PHP語言編寫的開源內(nèi)容管理框架���。Drupal存在遠程代碼執(zhí)行漏洞�����,由于Drupal core 沒有正確地處理上傳文件中的某些文件名���,攻擊者通過上傳惡意文件,在某些特定的配置下可能會被當做PHP解析�,從而導致遠程代碼執(zhí)行。
風險等級
高危
影響版本
Drupal < 9.0.8
Drupal < 8.9.9
Drupal < 8.8.11
Drupal < 7.7.4
修復建議
1. 升級到安全版本�;
2. 對Drupal目錄下的文件進行排查,主要檢查具有多個擴展名的文件��;
安全版本:
Drupal 9.0.8
Drupal 8.9.9
Drupal 8.8.11
Drupal 7.7.4
參考鏈接
https://www.drupal.org/sa-core-2020-012
北京金山云網(wǎng)絡(luò)技術(shù)有限公司
2020/11/19