Drupal 远程代码执行漏洞（CVE-2020-13671）

今天服务器上面提示有漏洞预警提示：Drupal远程代码执行漏洞（CVE-2020-13671），接下来吾爱编程为大家介绍一下Drupal远程代码执行漏洞修复方法，有需要的小伙伴可以参考一下：

1、漏洞描述：

    Drupal是使用PHP语言编写的开源内容管理框架。近日 Drupal官方发布安全更新，修复了 CVE-2020-13671 Drupal 远程代码执行漏洞。由于Drupal core 没有正确地处理上传文件中的某些文件名，或被当作错误的MIME类型，攻击者通过上传恶意文件，在某些特定的配置下可能会被当作php解析，从而导致远程代码执行。

2、漏洞风险：

    攻击者可利用该漏洞执行恶意代码，可导致获取服务器权限等风险。

3、影响版本：

Drupal 7系列，版本号< 7.74
Drupal 8.8系列，版本号< 8.8.11
Drupal 8.9系列，版本号< 8.9.9
Drupal 9.0系列，版本号< 9.0.8

4、安全版本：

Drupal 9.0.8
Drupal 8.9.9
Drupal 8.8.11
Drupal 7.7.4

5、修复建议：

    （1）、如果您使用的是Drupal 7，请更新至Drupal 7.74；

    （2）、如果您使用的是Drupal 8.8或更早版本，请更新到Drupal 8.8.11；

    （3）、如果您使用的是Drupal 8.9，请更新至Drupal 8.9.9；

    （4）、如果您使用的是Drupal 9.0，请更新至Drupal 9.0.8；

    （5）、相关链接：https://www.drupal.org/sa-core-2020-012

6、备注：

    建议审核所有以前上传的文件，以检查是否有恶意扩展名。可专门查找包含多个扩展名的文件，例如filename.php.txt或filename.html.gif，扩展名中不带下划线(_)。需要特别注意以下文件扩展名phar、php、pl、py、cgi、asp、js、html、htm、phtml等，即使后面有一个或多个其他扩展名，也应将其视为危险文件。

以上就说吾爱编程为大家介绍的关于Drupal远程代码执行漏洞修复方法，了解更多相关文章请关注吾爱编程网！