以下哪些可以成为html文件的扩展名_Drupal任意文件上传漏洞(CVE202013671)风险通告,腾讯主机安全(云镜)支持检测...

最新推荐文章于 2023-09-14 08:00:00 发布
最新推荐文章于 2023-09-14 08:00:00 发布
阅读量129 收藏
点赞数
文章标签: 以下哪些可以成为html文件的扩展名

1漏洞描述

Drupal官方通报了一个Drupal任意文件上传漏洞,该漏洞使远程攻击者可以破坏易受攻击的系统。

由于文件上载时对文件的验证不足而存在此漏洞,远程攻击者可以上载恶意PHP文件,并在服务器上执行该文件。

安全专家建议审核所有以前上传的文件,以检查是否存在恶意扩展名。

应特别注意以下文件扩展名,即使后面有其他扩展名,也应将其视为危险文件:.php、.txt、.gif、.phar、.php、.pl、.py、.cgi、.asp、.js、.html

.htm

2漏洞编号

CVE-2020-13671

3漏洞等级

高风险,CVSS评分8.5

4受影响的版本

Drupal 7系列,版本号< 7.74

Drupal 8.8系列,版本号< 8.8.11

Drupal 8.9系列,版本号< 8.9.9

Drupal 9.0系列,版本号< 9.0.8

5安全版本

Drupal 7.74

Drupal 8.8.11

Drupal 8.9.9

Drupal 9.0.8

6漏洞修复

腾讯安全专家建议受影响的用户升级Drupal到最新版本。

下载地址:

https://www.drupal.org/project/drupal/releases/7.74

https://www.drupal.org/project/drupal/releases/8.9.9

https://www.drupal.org/project/drupal/releases/8.8.11

https://www.drupal.org/project/drupal/releases/9.0.8

7腾讯安全解决方案

腾讯T-Sec主机安全(云镜)漏洞库日期2020-11-19之后的版本,已支持对Drupal任意文件上传漏洞(CVE-2020-13671)漏洞进行检测。

参考链接:

https://www.drupal.org/sa-core-2020-012

afa2da82d54272b1668115046c84d130.png

插播一条招聘广告(长期)

d7e555d924e4e6886711c922091926ce.png

腾讯安全团队现有大量岗位急招客户端开发,Windows、Linux不限,要求3年以上安全领域相关工作经验,具有主机安全、终端安全和零信任经验者优先,有意请投简历到huntchen@tencent.com,诚邀加盟!

weixin_39697096
关注
  • 0
    点赞
  • 0
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
php文件上传表单摘自drupal的代码
01-20
drupal文件上传表单的例子 复制代码 代码如下: function upload_form() { $form = array(); // If this #attribute is not present, upload will fail on submit $form[‘#attributes’][‘enctype’] = ‘multipart...
以下哪些可以成为html文件扩展名_网站建设工程师必须掌握的文件类型和文件扩展名...
weixin_39966909的博客
12-01 1728
网站建设工程师必须掌握的文件类型和文件扩展名当学习如何构建网页时,您会遇到许多不同类型的文件。尽管大多数网页都是在unixweb服务器上运行的,这些服务器和Mac一样,不需要文件扩展名,但文件扩展名是区分文件最常用的方式。看到文件名和扩展名后,您就知道是什么类型的文件、Web服务器如何使用它以及如何访问它。所以掌握常用的文件类型和文件扩展名还是必须的,作为一名网站建设工程师,必须掌握哪些文件类型和...
以下哪些可以成为html文件扩展名_什么是html?什么是html文件html语言特点?...
weixin_39607450的博客
12-01 4512
html语言是网络上的通用语言,也是比较简单的语言,对于想要在前端行业发展的人来说,html是必须要学的语言。那么,今天我们要来讲一下html是什么语言?html什么意思?以及html语言特点。什么是htmlHTML的英文全称是HyperText Mark-up Language,中文名是超文本标记语言,是万维网浏览器使用的一种通用语言,其中超文本是指html网页中链接、图片、或者是其他程序等不...
Drupal __ 8.5.0 __ XSS文件上传 __CVE-2019-6341
cgjil的博客
09-14 157
Drupal 的图片默认存储位置为 /sites/default/files/pictures//,默认存储名称为其原来的名称,所以之后在利用漏洞时,可以知道上传后的图片的具体位置。该漏洞需要利用drupal文件模块上传文件漏洞,伪造一个图片文件上传文件的内容实际是一段HTML代码,内嵌JS,这样其他用户在访问这个链接时,就可能触发XSS漏洞。在7.65之前的Drupal 7版本中;使用PoC上传构造好的伪造GIF文件,PoC参考thezdi/PoC的PoC。升级Drupal至最新版本。
CVE-2020-13671: Drupal 远程代码执行漏洞通告
爱国小白帽
11-19 1726
报告编号:B6-2020-111901 报告来源:360CERT 报告作者:360CERT 更新日期:2020-11-19 0x01 漏洞简述 2020年11月19日,360CERT监测发现 Drupal 发布了 Drupal 代码执行漏洞风险通告,该漏洞编号为 CVE-2020-13671 ,漏洞等级:高危 ,漏洞评分:8.1 。 未授权的远程攻击者通过 上传特定文件名的文件 ,可造成 任意代码执行 。 对此,360CERT建议广大用户及时将 Drupal 升级到最新版本。与此同时,请做.
Drupal远程代码执行漏洞(CVE-2019-6339)
weixin_46411728的博客
08-25 2507
Drupal 远程代码执行漏洞(CVE-2019-6339)
wp_drupal_timing_attack:用于利用 CVE-2014-9016 和 CVE-2014-9034 的 Python 脚本
07-04
wp_drupal_timing_attack 用于利用 CVE-2014-9016 和 CVE-2014-9034 的 Python 脚本。 仅用于合法目的
Drupal 修复代码执行等漏洞
smellycat000的专栏
07-25 528
聚焦源代码安全,网罗国内外最新资讯!编译:代码卫士Drupal 开发人员发布安全更新,修复位于该开源内容管理系统 (CMS) 中的多个漏洞Drupal 发布四份安全公告,说明了四个漏洞。其中一个漏洞为“严重”等级的漏洞,其它三个是“中危”级别。Drupal 的评级标准是NIST 常见滥用评级系统而不是CVSS,这四个漏洞的评级为“不太严重”、“中等严重”、“严重”和“...
drupal 执行.php文件,Drupal远程代码执行漏洞(CVE-2020-13671)-Drupal远程代码执行漏洞修复方法-吾爱编程网...
weixin_33063489的博客
04-06 285
今天服务器上面提示有漏洞预警提示:Drupal远程代码执行漏洞(CVE-2020-13671),接下来吾爱编程为大家介绍一下Drupal远程代码执行漏洞修复方法,有需要的小伙伴可以参考一下:1、漏洞描述:Drupal是使用PHP语言编写的开源内容管理框架。近日 Drupal官方发布安全更新,修复了 CVE-2020-13671 Drupal远程代码执行漏洞。由于Drupal core 没有正确地处...
CVE-2020-36193:Drupal目录穿越漏洞通告
爱国小白帽
01-22 1186
报告编号:B6-2021-012201 报告来源:360CERT 报告作者:360CERT 更新日期:2021-01-22 0x01漏洞简述 2021年01月22日,360CERT监测发现Drupal发布了Drupal 目录穿越漏洞风险通告,该漏洞编号为CVE-2020-36193,漏洞等级:高危,漏洞评分:7.2。 远程攻击者通过构造包含符号链接的.tar、.tar.gz、.bz2、.tlz文件,结合 drupal 系统中的上传点,可造成任意代码执行。 对此,360CERT建议广大用户及时将Drupa.
使用python绘制好看的箱形图、柱状图、散点图
05-26
使用python绘制好看的箱形图、柱状图、散点图
ipython-8.11.0.tar.gz
05-26
Python库是一组预先编写的代码模块,旨在帮助开发者实现特定的编程任务,无需从零开始编写代码。这些库可以包括各种功能,如数学运算、文件操作、数据分析和网络编程等。Python社区提供了大量的第三方库,如NumPy、Pandas和Requests,极大地丰富了Python的应用领域,从数据科学到Web开发。Python库的丰富性是Python成为最受欢迎的编程语言之一的关键原因之一。这些库不仅为初学者提供了快速入门的途径,而且为经验丰富的开发者提供了强大的工具,以高效率、高质量地完成复杂任务。例如,Matplotlib和Seaborn库在数据可视化领域内非常受欢迎,它们提供了广泛的工具和技术,可以创建高度定制化的图表和图形,帮助数据科学家和分析师在数据探索和结果展示中更有效地传达信息。
libaa1-1.4.0-1.30.aarch64.rpm
05-26
安装:rpm -i xx.rpm
AL-SHADE-main.zip
最新发布
05-26
多种智能优化算法设计开发应用,可供学习交流,不断更新资源
团长头像制作小程序源码 支持流量主
05-26
最近各类团长挺火的 然后就诞生了这款团长头像制作器 支持流量主模式 支持自定义文字,和拥有各种团长模板等等。
基于Springboot+vue的电子产品销售系统设计与实现+论文
05-26
基于Spring Boot和Vue的电子产品销售系统旨在提供一个高效、易用的在线销售平台。该系统主要包括以下功能模块: 产品管理:支持电子产品的添加、编辑、删除和查询,确保产品信息的准确性和完整性。 购物车管理:用户可以将感兴趣的产品加入购物车,支持修改数量、删除商品以及查看购物车明细。 订单管理:用户可以查看历史订单、下新订单、修改订单状态(如取消订单),管理员可处理订单并发货。 用户管理:包括用户注册、登录、个人信息维护,以及密码找回等功能,保障用户数据安全。 支付与结算:集成第三方支付接口,如支付宝、微信支付,提供安全便捷的支付体验。 技术实现方面: 后端:采用Spring Boot框架,构建RESTful API接口,提供数据访问和业务逻辑处理。 前端:使用Vue.js构建用户界面,通过Axios与后端进行通信,实现前后端分离。 数据库:选择MySQL作为数据库系统,存储产品、订单、用户等数据。 开发工具:使用IntelliJ IDEA或Visual Studio Code等开发工具,提高开发效率。 该系统通过Spring Boot和Vue的技术组合,为用户提供了便捷、高效
"drupal < 7.32 \"drupalgeddon\" sql injection vulnerability (cve-2014-3704)漏洞"
10-28
Drupal 版本中存在一个名为“Drupalgeddon”的SQL注入漏洞漏洞编号为CVE-2014-3704。 SQL注入是一种常见的网络安全漏洞,它允许攻击者通过在输入中注入恶意的SQL代码来干扰或绕过应用程序的数据库查询。在Drupal...

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值