1漏洞描述
Drupal官方通报了一个Drupal任意文件上传漏洞,该漏洞使远程攻击者可以破坏易受攻击的系统。
由于文件上载时对文件的验证不足而存在此漏洞,远程攻击者可以上载恶意PHP文件,并在服务器上执行该文件。
安全专家建议审核所有以前上传的文件,以检查是否存在恶意扩展名。
应特别注意以下文件扩展名,即使后面有其他扩展名,也应将其视为危险文件:.php、.txt、.gif、.phar、.php、.pl、.py、.cgi、.asp、.js、.html
、.htm
2漏洞编号
CVE-2020-13671
3漏洞等级
高风险,CVSS评分8.5
4受影响的版本
Drupal 7系列,版本号< 7.74
Drupal 8.8系列,版本号< 8.8.11
Drupal 8.9系列,版本号< 8.9.9
Drupal 9.0系列,版本号< 9.0.8
5安全版本
Drupal 7.74
Drupal 8.8.11
Drupal 8.9.9
Drupal 9.0.8
6漏洞修复
腾讯安全专家建议受影响的用户升级Drupal到最新版本。
下载地址:
https://www.drupal.org/project/drupal/releases/7.74
https://www.drupal.org/project/drupal/releases/8.9.9
https://www.drupal.org/project/drupal/releases/8.8.11
https://www.drupal.org/project/drupal/releases/9.0.8
7腾讯安全解决方案
腾讯T-Sec主机安全(云镜)漏洞库日期2020-11-19之后的版本,已支持对Drupal任意文件上传漏洞(CVE-2020-13671)漏洞进行检测。
参考链接:
https://www.drupal.org/sa-core-2020-012
插播一条招聘广告(长期)
腾讯安全团队现有大量岗位急招客户端开发,Windows、Linux不限,要求3年以上安全领域相关工作经验,具有主机安全、终端安全和零信任经验者优先,有意请投简历到huntchen@tencent.com,诚邀加盟!