Drupal 解决 CVE-2020-13671 远程执行代码漏洞

drupal开发团队已经发布了安全更新，以修复由于未能正确清理上传文件名称而导致的远程代码执行漏洞。

根据NIST常见误用评分系统，该漏洞跟踪为CVE-2020-13671，已被分类为严重。

攻击者可以通过将具有某些扩展名（phar，php，pl，py，cgi，html，htm，phtml，js和asp）的文件上传到服务器来实现远程代码执行，从而利用此漏洞。

“ Drupal核心无法正确清理上传文件上的某些文件名，这可能导致文件被解释为错误的扩展名，并被用作错误的MIME类型或对于某些托管配置被执行为PHP。” 阅读Drupal发布的安全公告。

开发团队已通过发布7.74、8.8.11、8.9.9和9.0.8版本解决了Drupal 7、8和9中的漏洞。

该漏洞是由以下专家报告给团队的：

• ufku
• Mark Ferree
• Frédéric G. Marand
• Samuel Mortenson of the Drupal Security Team
• Derek Wright

开发团队建议用户检查其服务器中是否包含多个扩展名的文件，例如filename.php.txt或filename.html.gif。

3月，开发团队发布了8.8.x和8.7.x版本的安全更新，该更新修复了两个影响CKEditor库的XSS漏洞。

5月，他们解决了XSS并打开了重定向漏洞，而6月，他们发布了安全更新以解决多个安全漏洞，其中包括一个跟踪为CVE-2020-13664的“关键”漏洞，攻击者可以利用该漏洞执行任意PHP代码。

9月，Drupal维护人员修复了流行的内容管理系统（CMS）中的多个信息泄露和跨站点脚本（XSS）漏洞。