近日,国家信息安全漏洞库(CNNVD)收到关于Drupal安全漏洞(CNNVD-202011-1698、CVE-2020-13671)情况的报送。华云安作为CNNVD技术支撑单位为本次通报提供支持。截止到10月,华云安在2020年共向CNNVD报送漏洞1556个,漏洞报送量长期名列前茅。
成功利用漏洞的远程攻击者可能获取目标系统或网站的管理权限,执行恶意代码。Drupal Core 7、8.8、8.9、9.0各分支版本均受此漏洞影响。目前,Drupal官方已经发布了版本更新修复了该漏洞。建议用户及时确认Drupal Core产品版本,如受影响,请及时采取修补措施。
1 漏洞介绍
Drupal是Drupal社区的一套使用PHP语言开发的开源内容管理系统。
Drupal Core 存在安全漏洞,由于Drupal Core 未正确处理上传文件中的某些文件名,可能导致文件会被错误地解析为其他MIME类型,未授权的远程攻击者可通过上传特定文件名的恶意文件利用漏洞执行代码。
2 危害影响
成功利用该漏洞的远程攻击者,可获取目标系统或网站的管理权限,执行恶意代码。以下等版本均受此漏洞影响:
Drupal < 7.7.4
Drupal < 8.8.11
Drupal < 8.9.9
Drupal < 9.0.8
注:官方已经停止维护8.8.x之前的Drupal 8版本。
3 修复建议
目前,Drupal官方已经发布了版本更新修复了该漏洞。建议用户及时确认Drupal Core产品版本,如受影响,请及时采取修补措施。漏洞修补措施如下:
Drupal 9.0系列用户,建议更新至 Drupal9.0.8 版本,链接为https://www.drupal.org/project/drupal/releases/9.0.8
Drupal 8.9系列用户,建议更新至 Drupal8.9.9 版本,链接为https://www.drupal.org/project/drupal/releases/8.9.9
Drupal 8.8系列用户,建议更新至 Drupal8.8.11 版本,链接为https://www.drupal.org/project/drupal/releases/8.8.11
Drupal 7系列用户,建议更新至 Drupal 7.74,链接为https://www.drupal.org/project/drupal/releases/7.74
CNNVD将继续跟踪上述漏洞的相关情况,及时发布相关信息。如有需要,可与CNNVD联系。
联系方式: [email protected]
来源:freebuf.com 2020-11-24 16:27:11 by: 华云安huaun
请登录后发表评论
注册