Drupal任意文件上传漏洞(CVE-2020-13671)风险通告,腾讯主机安全(云镜)支持检测

2020-11-19 10:48:00
Drupal官方通报了一个Drupal任意文件上传漏洞,该漏洞使远程攻击者可以破坏易受攻击的系统。由于文件上载时对文件的验证不足而存在此漏洞,远程攻击者可以上载恶意PHP文件,并在服务器上执行该文件。

漏洞描述:

Drupal官方通报了一个Drupal任意文件上传漏洞,该漏洞使远程攻击者可以破坏易受攻击的系统。

 

由于文件上载时对文件的验证不足而存在此漏洞,远程攻击者可以上载恶意PHP文件,并在服务器上执行该文件。

 

安全专家建议审核所有以前上传的文件,以检查是否存在恶意扩展名。

 

应特别注意以下文件扩展名,即使后面有其他扩展名,也应将其视为危险文件:.php、.txt、.gif、.phar、.php、.pl、.py、.cgi、.asp、.js、.html.htm

 

漏洞等级:高风险,CVSS评分8.5

 

漏洞编号:CVE-2020-13671

 

受影响的版本:

Drupal 7系列,版本号< 7.74

Drupal 8.8系列,版本号< 8.8.11

Drupal 8.9系列,版本号< 8.9.9

Drupal 9.0系列,版本号< 9.0.8

 

安全版本:

Drupal 7.74

Drupal 8.8.11

Drupal 8.9.9

Drupal 9.0.8

 

漏洞修复:

腾讯安全专家建议受影响的用户升级Drupal到最新版本。

 

下载地址:

https://www.drupal.org/project/drupal/releases/7.74

https://www.drupal.org/project/drupal/releases/8.9.9

https://www.drupal.org/project/drupal/releases/8.8.11

https://www.drupal.org/project/drupal/releases/9.0.8


腾讯安全解决方案:

腾讯T-Sec主机安全(云镜)漏洞库日期2020-11-19之后的版本,已支持对Drupal任意文件上传漏洞(CVE-2020-13671)漏洞进行检测。

 

参考链接:

https://www.drupal.org/sa-core-2020-012

 

最新资讯