【漏洞详情】
Drupal是使用PHP语言编写的开源内容管理框架。近日,平安云安全中心监测到Drupal发布官方通告,修复了一个 远程代码执行漏洞(CVE-2020-36193)。由于Drupal的依赖库PEAR Archive_Tar在处理如tar、tar.gz、bz2或tlz等压缩包时过滤不严,攻击者通过构造包含符号链接的压缩包,可实现目录遍历攻击。
【风险评级】
高危
【影响范围】
l Drupal < 9.1.3
l Drupal < 9.0.11
l Drupal < 8.9.13
l Drupal < 7.78
【修复建议】
官方已经提供最新版本,建议受影响的用户结合实际业务评估漏洞风险影响,可通过如下方案避免安全风险。
方案一,升级Drupal至最新版本;
方案二,设置Drupal禁止用户上传如.tar、.tar.gz、.bz2、.tlz等格式的压缩包。。
【参考链接】
https://www.drupal.org/sa-core-2021-001
特别提醒:修复漏洞前请进行充分测试,并务必做好数据备份和快照,防止出现意外。
平安云
2021年1月21日