尊龙凯时人生就是搏! (中国)官方

1、漏洞背景描述

近日，Drupal官方发布安全更新，修复了Drupal远程代码执行漏洞（CVE-2020-13671）。

2、漏洞概述

Drupal是使用PHP语言编写的开源内容管理框架（CMF），由内容管理系统（CMS）和PHP开发框架（Framework）共同构成。

由于Drupal core没有正确地处理上传文件中的某些文件名，攻击者通过上传恶意文件，在某些特定的配置下可能会被当作php解析，从而导致远程代码执行。

3、漏洞风险

攻击者成功利用该漏洞，可实现远程代码执行。

4、漏洞影响

Drupal < 7.7.4

Drupal < 8.8.11

Drupal < 8.9.9

Drupal < 9.0.8

注：8.8.x之前的Drupal 8版本官方已经停止维护。Cisco IoT FND REST

5、修复建议

(1)赛尔网络安全服务团队建议相关用户尽快升级Drupal至最新版本。

(2)相关用户可对Drupal目录下已经存在的文件进行排查，尤其注意如filename.php.txt或filename.html.gif这类包含多个扩展名的文件，扩展名中是否存在下划线_。特别注意以下文件扩展名，即使后面跟着一个或多个其他扩展名，也应该被认为是危险文件，例如：phar、php、pl、py、cgi、asp、js、html、htm、phtml等。

参考链接：http://www.drupal.org/sa-core-2020-012