一、基本情况

1月20日,Drupal发布了Drupal存在目录遍历漏洞的风险通告,相关CVE编号:CVE-2020-36193。攻击者可利用该漏洞获取敏感信息,最严重的影响可造成远程代码执行。目前,Drupal官方已发布最新版本修复漏洞,建议受影响用户及时升级至修复版本,做好资产自查以及预防工作,以免遭受黑客攻击。

二、漏洞等级

高危

三、漏洞详情

Drupal是一套基于PHP语言编写的开源开发型CMF系统,由内容管理系统(CMS)和PHP开发框架(Framework)共同构成。

Drupal使用了PEAR Archive_Tar作为依赖库,在处理如.tar、.tar.gz、.bz2或.tlz等格式的压缩包时,由于过滤不严,攻击者可通过构造包含符号链接的压缩包,结合Drupal系统中的上传功能,执行目录遍历漏洞攻击,获取服务器敏感信息,最严重的的影响可造成远程代码执行。

四、影响范围

Drupal < 9.1.3

Drupal < 9.0.11

Drupal < 8.9.13

Drupal < 7.78

五、处置建议

1)官方建议

目前Drupal官方已发布最新版修复该漏洞,建议受影响用户升级至对应最新版本进行漏洞修复。

如果是Drupal 9.1版本用户,升级到Drupal 9.1.3

如果是Drupal 9.0版本用户,升级到Drupal 9.0.11

如果是Drupal 8.9版本用户,升级到Drupal 8.9.13

如果是Drupal 7版本用户,升级到Drupal 7.78

2)临时缓解措施

若用户暂时无法进行升级操作,可禁止用户上传 .tar,.tar.gz,.bz2或.tlz等格式的压缩包,暂时缓解该漏洞影响。

六、参考链接

https://www.drupal.org/sa-core-2021-001

支持单位:

深信服科技股份有限公司

中国信息通信研究院

声明:本文来自网络安全威胁和漏洞信息共享平台,版权归作者所有。文章内容仅代表作者独立观点,不代表士冗科技立场,转载目的在于传递更多信息。如有侵权,请联系 service@expshell.com。