Drupal 目录遍历漏洞 (CVE-2020-36193)

地球胖头鱼 2021-01-22
Web安全 发布于 2021-01-22 11:39:46 阅读 133 评论 0

基本信息

  • 风险等级: 高危

  • 漏洞类型: 目录遍历

  • 漏洞利用: 暂无

  • 漏洞编号:CVE-2020-36193

漏洞描述

近日,监测到1月20日Drupal官方发布安全更新,修复了Drupal 远程代码执行漏洞(CVE-2020-36193)。Drupal使用了PEAR Archive_Tar作为依赖库,在处理如.tar.tar.gz.bz2.tlz等格式的压缩包时,由于过滤不严,攻击者可构造包含符号链接的压缩包,结合上传功能,可能导致存在目录遍历漏洞,甚至远程代码执行漏洞。

受影响版本

  • Drupal < 9.1.3
  • Drupal < 9.0.11
  • Drupal < 8.9.13
  • Drupal < 7.78

安全版本

  • Drupal 9.1.3
  • Drupal 9.0.11
  • Drupal 8.9.13
  • Drupal 7.78

Drupal 目录遍历漏洞 (CVE-2020-36193)

Drupal是Drupal社区的一套使用PHP语言开发的开源内容管理系统。

影响范围

Drupal < 9.1.3,Drupal < 9.0.11,Drupal < 8.9.13,Drupal < 7.78

解决方案

临时修复建议

若业务环境允许,使用白名单限制相关web项目访问来降低风险。

通用修复建议

  1. 升级Drupal至最新版本。

  2. 设置Drupal禁止用户上传如.tar、.tar.gz、.bz2、.tlz等格式的压缩包。

情报来源

阿里云先知

本作品采用《CC 协议》,转载必须注明作者和本文链接
讨论数量: 0
(= ̄ω ̄=)··· 暂无内容!
请勿发布不友善或者负能量的内容。与人为善,比聪明更重要!
地球胖头鱼
未填写
  • 作者发布文章205
  • 作者收获粉丝7
  • 作者收到点赞0
  • 所有文章被收藏了1
  • 博客总访问量排行第2
  • 博客总访问量4.4 万(每日更新)
查看所有博文