通告编号:NS-2020-0067
2020-11-19
TAG: | Drupal 、远程代码执行、CVE-2020-13671 |
|---|---|
漏洞危害: | 攻击者利用此漏洞,可实现远程代码执行。 |
版本: | 1.0 |
1
漏洞概述
11月19日,绿盟科技监测到 Drupal 官方发布安全公告修复了 Drupal 远程代码执行漏洞(CVE-2020-13671),由于Drupal core 没有正确地处理上传文件中的某些文件名,导致在特定配置下后续处理中文件会被错误地解析为其他MIME类型,未授权的远程攻击者可通过上传特定文件名的恶意文件,从而实现任意代码执行 。请相关用户尽快采取措施进行防护。
Drupal是使用PHP语言编写的开源内容管理框架(CMF),由内容管理系统(CMS)和PHP开发框架(Framework)共同构成。
参考链接:
https://www.drupal.org/sa-core-2020-012
SEE MORE →
2影响范围
受影响版本
- Drupal < 7.7.4
- Drupal < 8.8.11
- Drupal < 8.9.9
- Drupal < 9.0.8
注:8.8.x之前的Drupal 8版本官方已经停止维护。
不受影响版本
- Drupal 7.7.4
- Drupal 8.8.11
- Drupal 8.9.9
- Drupal 9.0.8
3安全检测
3.1 版本检查
相关用户可通过查看当前使用的Drupal版本来确定是否受该漏洞影响,登录后台后,依次点击“管理”-“日志”-“报告状态”,即可查看当前的应用版本:
如果当前版本在受影响范围内,则存在安全风险。
3.2 文件排查
相关用户可对Drupal目录下已经存在的文件进行排查,尤其注意如 filename.php.txt 或 filename.html.gif 这类包含多个扩展名的文件,扩展名中是否存在下划线 _ 。特别注意以下文件扩展名,即使后面跟着一个或多个其他扩展名,也应该被认为是危险文件,例如:phar、php、pl、py、cgi、asp、js、html、htm、phtml等。
4漏洞防护
4.1 官方升级
目前官方已发布新版本修复了此漏洞,请受影响的用户尽快升级至对应的新版本进行防护:
修复版本 | 下载链接 |
|---|---|
Drupal 7.7.4 | https://www.drupal.org/project/drupal/releases/7.74 |
Drupal 8.8.11 | https://www.drupal.org/project/drupal/releases/8.8.11 |
Drupal 8.9.9 | https://www.drupal.org/project/drupal/releases/8.9.9 |
Drupal 9.0.8 | https://www.drupal.org/project/drupal/releases/9.0.8 |
END
