一、基本情况
1月20日,Drupal发布了Drupal存在目录遍历漏洞的风险通告,相关CVE编号:CVE-2020-36193。攻击者可利用该漏洞获取敏感信息,最严重的影响可造成远程代码执行。目前,Drupal官方已发布最新版本修复漏洞,建议受影响用户及时升级至修复版本,做好资产自查以及预防工作,以免遭受黑客攻击。
二、漏洞等级
高危 |
三、漏洞详情
Drupal是一套基于PHP语言编写的开源开发型CMF系统,由内容管理系统(CMS)和PHP开发框架(Framework)共同构成。 Drupal使用了PEAR Archive_Tar作为依赖库,在处理如.tar、.tar.gz、.bz2或.tlz等格式的压缩包时,由于过滤不严,攻击者可通过构造包含符号链接的压缩包,结合Drupal系统中的上传功能,执行目录遍历漏洞攻击,获取服务器敏感信息,最严重的的影响可造成远程代码执行。 |
四、影响范围
Drupal < 9.1.3 Drupal < 9.0.11 Drupal < 8.9.13 Drupal < 7.78 |
五、处置建议
1)官方建议 目前Drupal官方已发布最新版修复该漏洞,建议受影响用户升级至对应最新版本进行漏洞修复。 如果是Drupal 9.1版本用户,升级到Drupal 9.1.3 如果是Drupal 9.0版本用户,升级到Drupal 9.0.11 如果是Drupal 8.9版本用户,升级到Drupal 8.9.13 如果是Drupal 7版本用户,升级到Drupal 7.78 2)临时缓解措施 若用户暂时无法进行升级操作,可禁止用户上传 .tar,.tar.gz,.bz2或.tlz等格式的压缩包,暂时缓解该漏洞影响。 |
六、参考链接
https://www.drupal.org/sa-core-2021-001 |
支持单位:
深信服科技股份有限公司
中国信息通信研究院
声明:本文来自网络安全威胁和漏洞信息共享平台,版权归作者所有。文章内容仅代表作者独立观点,不代表士冗科技立场,转载目的在于传递更多信息。如有侵权,请联系 service@expshell.com。