一、漏洞详情
关于Drupal安全漏洞(CNNVD-202011-1698、CVE-2020-13671)情况的报送。成功利用漏洞的远程攻击者可能获取目标系统或网站的管理权限,执行恶意代码。Drupal Core 7、8.8、8.9、9.0各分支版本均受此漏洞影响。目前,Drupal官方已经发布了版本更新修复了该漏洞。建议用户及时确认Drupal Core产品版本,如受影响,请及时采取修补措施。
Drupal是Drupal社区的一套使用PHP语言开发的开源内容管理系统。
Dupal Core存在安全漏洞,由于Drupal Core 未正确处理上传文件中的某些文件名,可能导致文件会被错误地解析为其他MIME类型,未授权的远程攻击者可通过上传特定文件名的恶意文件利用漏洞执行代码。
二、影响范围
以下等版本均受此漏洞影响:
Drupal < 7.7.4
Drupal < 8.8.11
Drupal < 8.9.9
Drupal < 9.0.8
注:官方已经停止维护8.8.x之前的Drupal 8版本。
三、修复建议
目前,Drupal官方已经发布了版本更新修复了该漏洞。建议用户及时确认Drupal Core产品版本,如受影响,请及时采取修补措施。漏洞修补措施如下:
Drupal 9.0系列用户,建议更新至 Drupal 9.0.8 版本,链接为https://www.drupal.org/project/drupal/releases/9.0.8。
Drupal 8.9系列用户,建议更新至 Drupal 8.9.9 版本,链接为https://www.drupal.org/project/drupal/releases/8.9.9。
Drupal 8.8系列用户,建议更新至 Drupal 8.8.11 版本,链接为https://www.drupal.org/project/drupal/releases/8.8.11。
Drupal 7系列用户,建议更新至 Drupal 7.74,链接为https://www.drupal.org/project/drupal/releases/7.74。