Drupal 目录遍历漏洞 （CVE-2020-36193）

基本信息

• 风险等级： 高危

• 漏洞类型： 目录遍历

• 漏洞利用： 暂无

• 漏洞编号：CVE-2020-36193

漏洞描述

近日，监测到1月20日Drupal官方发布安全更新，修复了Drupal 远程代码执行漏洞（CVE-2020-36193）。Drupal使用了PEAR Archive_Tar作为依赖库，在处理如.tar、.tar.gz、.bz2或.tlz等格式的压缩包时，由于过滤不严，攻击者可构造包含符号链接的压缩包，结合上传功能，可能导致存在目录遍历漏洞，甚至远程代码执行漏洞。

受影响版本

• Drupal < 9.1.3
• Drupal < 9.0.11
• Drupal < 8.9.13
• Drupal < 7.78

安全版本

• Drupal 9.1.3
• Drupal 9.0.11
• Drupal 8.9.13
• Drupal 7.78

Drupal是Drupal社区的一套使用PHP语言开发的开源内容管理系统。

影响范围

Drupal < 9.1.3,Drupal < 9.0.11,Drupal < 8.9.13,Drupal < 7.78

解决方案

临时修复建议

若业务环境允许，使用白名单限制相关web项目访问来降低风险。

通用修复建议

1. 升级Drupal至最新版本。

2. 设置Drupal禁止用户上传如.tar、.tar.gz、.bz2、.tlz等格式的压缩包。

情报来源

阿里云先知

本作品采用《CC 协议》，转载必须注明作者和本文链接