【漏洞预警】CNNVD 关于Drupal安全漏洞的通报

admin 2022年6月2日07:49:31评论29 views字数 1172阅读3分54秒阅读模式

近日,国家信息安全漏洞库(CNNVD)收到关于Drupal安全漏洞(CNNVD-202011-1698、CVE-2020-13671)情况的报送。成功利用漏洞的远程攻击者可能获取目标系统或网站的管理权限,执行恶意代码。Drupal Core 7、8.8、8.9、9.0各分支版本均受此漏洞影响。目前,Drupal官方已经发布了版本更新修复了该漏洞。建议用户及时确认Drupal Core产品版本,如受影响,请及时采取修补措施。

一、漏洞介绍

Drupal是Drupal社区的一套使用PHP语言开发的开源内容管理系统。

Drupal Core 存在安全漏洞,由于Drupal Core 未正确处理上传文件中的某些文件名,可能导致文件会被错误地解析为其他MIME类型,未授权的远程攻击者可通过上传特定文件名的恶意文件利用漏洞执行代码。

二、危害影响

成功利用该漏洞的远程攻击者,可获取目标系统或网站的管理权限,执行恶意代码。以下等版本均受此漏洞影响:

  • Drupal < 7.7.4

  • Drupal < 8.8.11

  • Drupal < 8.9.9

  • Drupal < 9.0.8

注:官方已经停止维护8.8.x之前的Drupal 8版本。

三、修复建议

目前,Drupal官方已经发布了版本更新修复了该漏洞。建议用户及时确认Drupal Core产品版本,如受影响,请及时采取修补措施。漏洞修补措施如下:

Drupal 9.0系列用户,建议更新至 Drupal9.0.8 版本,链接为https://www.drupal.org/project/drupal/releases/9.0.8。

Drupal 8.9系列用户,建议更新至 Drupal8.9.9 版本,链接为https://www.drupal.org/project/drupal/releases/8.9.9。

Drupal 8.8系列用户,建议更新至 Drupal8.8.11 版本,链接为https://www.drupal.org/project/drupal/releases/8.8.11。

Drupal 7系列用户,建议更新至 Drupal 7.74,链接为https://www.drupal.org/project/drupal/releases/7.74。

 

 



本通报由CNNVD技术支撑单位——杭州安恒信息技术股份有限公司、北京中测安华科技有限公司、北京华云安信息技术有限公司、北京神州绿盟科技有限公司、北京山石网科信息技术有限公司、北京奇虎科技有限公司、北京华顺信安科技有限公司、内蒙古奥创科技有限公司等技术支撑单位提供支持。

 

CNNVD将继续跟踪上述漏洞的相关情况,及时发布相关信息。如有需要,可与CNNVD联系。

联系方式: [email protected]



原文始发于微信公众号(CNNVD安全动态):【漏洞预警】CNNVD 关于Drupal安全漏洞的通报

  • 左青龙
  • 微信扫一扫
  • weinxin
  • 右白虎
  • 微信扫一扫
  • weinxin
admin
  • 本文由 发表于 2022年6月2日07:49:31
  • 转载请保留本文链接(CN-SEC中文网:感谢原作者辛苦付出):
                   【漏洞预警】CNNVD 关于Drupal安全漏洞的通报http://cn-sec.com/archives/870876.html

发表评论

匿名网友 填写信息