1、漏洞背景描述
近日,Drupal官方发布安全更新,修复了Drupal远程代码执行漏洞(CVE-2020-13671)。
2、漏洞概述
Drupal是使用PHP语言编写的开源内容管理框架(CMF),由内容管理系统(CMS)和PHP开发框架(Framework)共同构成。
由于Drupal core没有正确地处理上传文件中的某些文件名,攻击者通过上传恶意文件,在某些特定的配置下可能会被当作php解析,从而导致远程代码执行。
3、漏洞风险
攻击者成功利用该漏洞,可实现远程代码执行。
4、漏洞影响
Drupal < 7.7.4
Drupal < 8.8.11
Drupal < 8.9.9
Drupal < 9.0.8
注:8.8.x之前的Drupal 8版本官方已经停止维护。Cisco IoT FND REST
5、修复建议
(1)赛尔网络安全服务团队建议相关用户尽快升级Drupal至最新版本。
(2)相关用户可对Drupal目录下已经存在的文件进行排查,尤其注意如filename.php.txt或filename.html.gif这类包含多个扩展名的文件,扩展名中是否存在下划线_。特别注意以下文件扩展名,即使后面跟着一个或多个其他扩展名,也应该被认为是危险文件,例如:phar、php、pl、py、cgi、asp、js、html、htm、phtml等。
参考链接:https://www.drupal.org/sa-core-2020-012