发布时间:2021-01-23 21:55:26,来源:深信服科技股份有限公司、中国信息通信研究院
1月20日,Drupal发布了Drupal存在目录遍历漏洞的风险通告,相关CVE编号:CVE-2020-36193。攻击者可利用该漏洞获取敏感信息,最严重的影响可造成远程代码执行。目前,Drupal官方已发布最新版本修复漏洞,建议受影响用户及时升级至修复版本,做好资产自查以及预防工作,以免遭受黑客攻击。
二、 漏洞等级
高危
三、 漏洞描述
Drupal是一套基于PHP语言编写的开源开发型CMF系统,由内容管理系统(CMS)和PHP开发框架(Framework)共同构成。
Drupal使用了PEAR Archive_Tar作为依赖库,在处理如.tar、.tar.gz、.bz2或.tlz等格式的压缩包时,由于过滤不严,攻击者可通过构造包含符号链接的压缩包,结合Drupal系统中的上传功能,执行目录遍历漏洞攻击,获取服务器敏感信息,最严重的的影响可造成远程代码执行。
四、 影响范围
Drupal < 9.1.3
Drupal < 9.0.11
Drupal < 8.9.13
Drupal < 7.78
五、 安全建议
1)官方建议
目前Drupal官方已发布最新版修复该漏洞,建议受影响用户升级至对应最新版本进行漏洞修复。
如果是Drupal 9.1版本用户,升级到Drupal 9.1.3
如果是Drupal 9.0版本用户,升级到Drupal 9.0.11
如果是Drupal 8.9版本用户,升级到Drupal 8.9.13
如果是Drupal 7版本用户,升级到Drupal 7.78
2)临时缓解措施
若用户暂时无法进行升级操作,可禁止用户上传 .tar,.tar.gz,.bz2或.tlz等格式的压缩包,暂时缓解该漏洞影响。
六、 参考链接
https://www.drupal.org/sa-core-2021-001