Drupal 解决 CVE-2020-13671 远程执行代码漏洞

Andrew 2020-11-20
专栏 - 资讯 发布于 2020-11-20 15:54:35 阅读 98 评论 0

drupal开发团队已经发布了安全更新,以修复由于未能正确清理上传文件名称而导致的远程代码执行漏洞

根据NIST常见误用评分系统,该漏洞跟踪为CVE-2020-13671,已被分类为严重。

攻击者可以通过将具有某些扩展名(phar,php,pl,py,cgi,html,htm,phtml,js和asp)的文件上传到服务器来实现远程代码执行,从而利用此漏洞。

“ Drupal核心无法正确清理上传文件上的某些文件名,这可能导致文件被解释为错误的扩展名,并被用作错误的MIME类型或对于某些托管配置被执行为PHP。” 阅读Drupal发布的安全公告。

开发团队已通过发布7.74、8.8.11、8.9.9和9.0.8版本解决了Drupal 7、8和9中的漏洞。

该漏洞是由以下专家报告给团队的:

  • ufku
  • Mark Ferree
  • Frédéric G. Marand
  • Samuel Mortenson of the Drupal Security Team
  • Derek Wright

开发团队建议用户检查其服务器中是否包含多个扩展名的文件,例如filename.php.txt或filename.html.gif。

3月,开发团队发布了8.8.x和8.7.x版本的安全更新,该更新修复了两个影响CKEditor库的XSS漏洞。

5月,他们解决了XSS并打开了重定向漏洞,而6月,他们发布了安全更新以解决多个安全漏洞,其中包括一个跟踪为CVE-2020-13664的“关键”漏洞,攻击者可以利用该漏洞执行任意PHP代码。

9月,Drupal维护人员修复了流行的内容管理系统(CMS)中的多个信息泄露和跨站点脚本(XSS)漏洞。

本作品采用《CC 协议》,转载必须注明作者和本文链接
讨论数量: 0
(= ̄ω ̄=)··· 暂无内容!
请勿发布不友善或者负能量的内容。与人为善,比聪明更重要!