当前位置:首页 > 漏洞预警 > 正文

Drupal任意代码执行漏洞(CVE-2021-32610)预警

发布时间:2021-07-27 19:11:24,来源:腾讯云计算(北京)有限责任公司

      一、 基本情况

近日,Drupal官方发布安全公告,披露了Drupal第三方库存在任意代码执行漏洞,漏洞CVE编号:CVE-2021-32610。攻击者可利用该漏洞执行任意代码攻击。目前Drupal官方已发布新版本修复该漏洞,建议受影响用户及时升级到最新版本进行防护,并做好资产自查以及预防工作,以免遭受黑客攻击。

      二、 漏洞等级

高危

      三、 漏洞描述

Drupal是Drupal社区的一套使用PHP语言开发的开源内容管理系统。

该漏洞是由于第三方PEAR Archive_Tar库导致,当contrib或自定义代码使用该库来提取恶意的 tar 文件时(例如 .tar、.tar.gz、.bz2 或 .tlz),从而触发该漏洞,攻击者可通过上传特制文件导致执行任意代码等攻击。

      四、 影响范围

Drupal 7.x < 7.82

Drupal 8.9.x < 8.9.17

Drupal 9.1.x < 9.1.11

Drupal 9.2.x < 9.2.2

      五、 安全建议

建议受影响用户及时升级至Drupal 9.2.2、9.1.11、8.9.17、7.82或更高版本。

下载链接:

https://www.drupal.org/project/drupal/releases/9.2.2

https://www.drupal.org/project/drupal/releases/9.1.11

https://www.drupal.org/project/drupal/releases/8.9.17

https://www.drupal.org/project/drupal/releases/7.82

      六、 参考链接

https://www.drupal.org/sa-core-2021-004