漏洞情报 | Drupal 远程代码执行漏洞CVE -2020-28948、CVE-2020-28949漏洞威胁通告
近日,安识科技A-Team团队监测到Drupal官方发布了安全更新,修复了Drupal远程代码执行漏洞(CVE-2020-28948、CVE-2020-28949)。
Drupal框架使用了PEAR Archive_Tar作为依赖库在对tar包进行创建、提取等操作时,由于过滤不严,可能导致phar反序列化从而造成远程代码执行。安识科技建议受影响的用户尽快升级到安全版本。
Drupal是使用PHP语言的开源内容管理框架。11月25日Drupal官方发布安全更新,修复了Drupal 远程代码执行漏洞。
Drupal使用了PEAR Archive_Tar作为依赖库,因为phar文件本质上是一种压缩文件,所以在处理,如.tar、.zip、.tlz等格式的压缩包时,由于过滤不严,可能导致存在phar反序列化漏洞,从而造成远程代码执行。
攻击者可以通过构造恶意的phar压缩文件,上传到服务器,当Drupal在处理此文件时,造成phar反序列化漏洞,从而导致远程代码执行。
漏洞影响的产品版本包括:
Drupal < 9.0.9
Drupal < 8.9.10
Drupal < 8.8.12
Drupal < 7.75
安识科技建议广大用户及时更新Drupal版本:
https://www.drupal.org/sa-core-2020-013
【-】2020年11月25日 Drupal官方发布了安全更新
【-】2020年11月26日 安识科技A-Team团队根据官网公告分析
【-】2020年11月26日 安识科技A-Team团队发布安全通告
本文作者:安识科技
本文为安全脉搏专栏作者发布,转载请注明:https://www.secpulse.com/archives/148356.html
必填 您当前尚未登录。 登录? 注册
必填(保密)