【漏洞详情】

Drupal是使用PHP语言编写的开源内容管理框架。近日，平安云安全中心监测到Drupal发布官方通告，修复了一个 远程代码执行漏洞（CVE-2020-36193）。由于Drupal的依赖库PEAR Archive_Tar在处理如tar、tar.gz、bz2或tlz等压缩包时过滤不严，攻击者通过构造包含符号链接的压缩包，可实现目录遍历攻击。

【风险评级】

高危

【影响范围】

l  Drupal < 9.1.3

l  Drupal < 9.0.11

l  Drupal < 8.9.13

l  Drupal < 7.78

【修复建议】

官方已经提供最新版本，建议受影响的用户结合实际业务评估漏洞风险影响，可通过如下方案避免安全风险。

方案一，升级Drupal至最新版本；

方案二，设置Drupal禁止用户上传如.tar、.tar.gz、.bz2、.tlz等格式的压缩包。。

【参考链接】

https://www.drupal.org/sa-core-2021-001

特别提醒：修复漏洞前请进行充分测试，并务必做好数据备份和快照，防止出现意外。

平安云

2021年1月21日