1. 通告信息
近日,安识科技A-Team团队发现Drupal 官方发布安全更新,修复了 Drupal 目录遍历漏洞(CVE-2020-36193)。
Drupal是使用PHP语言编写的开源内容管理框架。1月20日Drupal官方发布安全更新,修复了Drupal 远程代码执行漏洞(CVE-2020-36193)。对此,安识科技团队建议广大用户及时更新升级Drupal框架。与此同时,请做好资产自查以及预防工作,以免遭受黑客攻击。
2. 漏洞概述
Drupal使用了PEAR Archive_Tar作为依赖库,在处理如.tar、.tar.gz、.bz2或.tlz等格式的压缩包时,由于过滤不严,攻击者可构造包含符号链接的压缩包,结合上传功能,可能导致存在目录遍历漏洞,甚至远程代码执行漏洞。
3. 漏洞危害
攻击者可利用高危漏洞遍历目录,远程代码执行等等,获得该服务器的控制权限,存在较大的安全隐患。
4. 影响版本
漏洞影响的产品版本包括:
Drupal < 9.1.3
Drupal < 9.0.11
Drupal < 8.9.13
Drupal < 7.78
5. 解决方案
1.升级Drupal至最新版本
https://www.drupal.org/project/drupal/issues/3193801
2.设置Drupal禁止用户上传如.tar、.tar.gz、.bz2、.tlz等格式的压缩包。
6. 时间轴
【-】2021年1月20日 Drupal 官方发布安全更新公告
【-】2021年1月21日 安识科技A-Team团队根据公告分析
【-】2021年1月21日 安识科技A-Team
本文始发于微信公众号(SecPulse安全脉搏):CVE-2020-36193 Drupal 目录遍历漏洞
- 左青龙
- 微信扫一扫
-
- 右白虎
- 微信扫一扫
-
评论