当前位置:首页 > PHP教程 >

Drupal 远程代码执行漏洞(CVE-2020-13671)

发布时间:2020-11-20 18:54:49 作者:佚名 阅读:(67)

今天服务器上面提示有漏洞预警提示:Drupal远程代码执行漏洞(CVE-2020-13671),接下来吾爱编程为大家介绍一下Drupal远程代码执行漏洞修复方法,有需要的小伙伴可以参考一下:

1、漏洞描述:

    Drupal是使用PHP语言编写的开源内容管理框架。近日 Drupal官方发布安全更新,修复了 CVE-2020-13671 Drupal 远程代码执行漏洞。由于Drupal core 没有正确地处理上传文件中的某些文件名,或被当作错误的MIME类型,攻击者通过上传恶意文件,在某些特定的配置下可能会被当作php解析,从而导致远程代码执行。

2、漏洞风险:

    攻击者可利用该漏洞执行恶意代码,可导致获取服务器权限等风险。

3、影响版本:

Drupal 7系列,版本号< 7.74
Drupal 8.8系列,版本号< 8.8.11
Drupal 8.9系列,版本号< 8.9.9
Drupal 9.0系列,版本号< 9.0.8

4、安全版本:

Drupal 9.0.8
Drupal 8.9.9
Drupal 8.8.11
Drupal 7.7.4

5、修复建议:

    (1)、如果您使用的是Drupal 7,请更新至Drupal 7.74;

    (2)、如果您使用的是Drupal 8.8或更早版本,请更新到Drupal 8.8.11;

    (3)、如果您使用的是Drupal 8.9,请更新至Drupal 8.9.9;

    (4)、如果您使用的是Drupal 9.0,请更新至Drupal 9.0.8;

    (5)、相关链接:https://www.drupal.org/sa-core-2020-012

6、备注:

    建议审核所有以前上传的文件,以检查是否有恶意扩展名。可专门查找包含多个扩展名的文件,例如filename.php.txt或filename.html.gif,扩展名中不带下划线(_)。需要特别注意以下文件扩展名phar、php、pl、py、cgi、asp、js、html、htm、phtml等,即使后面有一个或多个其他扩展名,也应将其视为危险文件。


以上就说吾爱编程为大家介绍的关于Drupal远程代码执行漏洞修复方法,了解更多相关文章请关注吾爱编程网!

欢迎分享转载→ Drupal 远程代码执行漏洞(CVE-2020-13671)

© 2015-2019 - 吾爱编程网 版权所有 苏ICP备18033726号-1关于我们 - 网站声明 - 联系我们