漏洞描述:
Drupal官方通报了一个Drupal任意文件上传漏洞,该漏洞使远程攻击者可以破坏易受攻击的系统。
由于文件上载时对文件的验证不足而存在此漏洞,远程攻击者可以上载恶意PHP文件,并在服务器上执行该文件。
安全专家建议审核所有以前上传的文件,以检查是否存在恶意扩展名。
应特别注意以下文件扩展名,即使后面有其他扩展名,也应将其视为危险文件:.php、.txt、.gif、.phar、.php、.pl、.py、.cgi、.asp、.js、.html、.htm
漏洞等级:高风险,CVSS评分8.5
漏洞编号:CVE-2020-13671
受影响的版本:
Drupal 7系列,版本号< 7.74
Drupal 8.8系列,版本号< 8.8.11
Drupal 8.9系列,版本号< 8.9.9
Drupal 9.0系列,版本号< 9.0.8
安全版本:
Drupal 7.74
Drupal 8.8.11
Drupal 8.9.9
Drupal 9.0.8
漏洞修复:
腾讯安全专家建议受影响的用户升级Drupal到最新版本。
下载地址:
https://www.drupal.org/project/drupal/releases/7.74
https://www.drupal.org/project/drupal/releases/8.9.9
https://www.drupal.org/project/drupal/releases/8.8.11
https://www.drupal.org/project/drupal/releases/9.0.8
腾讯安全解决方案:
腾讯T-Sec主机安全(云镜)漏洞库日期2020-11-19之后的版本,已支持对Drupal任意文件上传漏洞(CVE-2020-13671)漏洞进行检测。
参考链接:
https://www.drupal.org/sa-core-2020-012