【高危】- Drupal 远程代码执行漏洞通告(CVE-2020-13671)
■ 漏洞描述
Drupal是使用PHP语言编写的开源内容管理框架(CMF),它由内容管理系统(CMS)和PHP开发框架(Framework)共同构成。
Drupal 发布了 Drupal 代码执行漏洞 的风险通告,该漏洞编号为 CVE-2020-13671。Drupal core 没有正确地处理上传文件中的某些文件名,这可能导致文件被解释为不正确的扩展名,并被用作错误的 MIME 类型,在某些特定的配置下,可能会被当作 php 解析,导致远程代码执行。
■ 影响范围
Drupal:Drupal : 9.0
Drupal:Drupal : 8.9
Drupal:Drupal : 8.8.x
Drupal:Drupal : 7
■ 漏洞检测
版本匹配。
■ 漏洞修复
升级到最新版本:
Drupal 9.0版本用户,更新至Drupal 9.0.8
Drupal 8.9版本用户,更新至Drupal 8.9.9
Drupal 8.8 以及之前版本用户, 更新至Drupal 8.8.11
Drupal 7版本用户,更新至Drupal 7.7.4
地址:http://drupalchina.cn/download。
■ 临时修复
对已经存在对文件名进行检测,特别注意如 filename.php.txt 或 filename.html.gif 这类包含多个扩展名的文件,扩展名中是否存在下划线 _ 。特别注意以下文件扩展名,即使后面跟着一个或多个额外扩展名,也应该被认为是危险的:phar、php、pl、py、cgi、asp、js、html、htm、phtml。
■ 漏洞详情
https://cert.360.cn/warning/detail?id=6339ee63ba8474528c75686e000b8006。
Drupal是使用PHP语言编写的开源内容管理框架(CMF),它由内容管理系统(CMS)和PHP开发框架(Framework)共同构成。
Drupal 发布了 Drupal 代码执行漏洞 的风险通告,该漏洞编号为 CVE-2020-13671。Drupal core 没有正确地处理上传文件中的某些文件名,这可能导致文件被解释为不正确的扩展名,并被用作错误的 MIME 类型,在某些特定的配置下,可能会被当作 php 解析,导致远程代码执行。
■ 影响范围
Drupal:Drupal : 9.0
Drupal:Drupal : 8.9
Drupal:Drupal : 8.8.x
Drupal:Drupal : 7
■ 漏洞检测
版本匹配。
■ 漏洞修复
升级到最新版本:
Drupal 9.0版本用户,更新至Drupal 9.0.8
Drupal 8.9版本用户,更新至Drupal 8.9.9
Drupal 8.8 以及之前版本用户, 更新至Drupal 8.8.11
Drupal 7版本用户,更新至Drupal 7.7.4
地址:http://drupalchina.cn/download。
■ 临时修复
对已经存在对文件名进行检测,特别注意如 filename.php.txt 或 filename.html.gif 这类包含多个扩展名的文件,扩展名中是否存在下划线 _ 。特别注意以下文件扩展名,即使后面跟着一个或多个额外扩展名,也应该被认为是危险的:phar、php、pl、py、cgi、asp、js、html、htm、phtml。
■ 漏洞详情
https://cert.360.cn/warning/detail?id=6339ee63ba8474528c75686e000b8006。