CVE-2020-36193 Drupal 目录遍历漏洞

2021-01-25 7,364

1. 通告信息




近日,安识科技A-Team团队发现Drupal 官方发布安全更新,修复了 Drupal 目录遍历漏洞(CVE-2020-36193)。

Drupal是使用PHP语言编写的开源内容管理框架。1月20日Drupal官方发布安全更新,修复了Drupal 远程代码执行漏洞(CVE-2020-36193)。对此,安识科技团队建议广大用户及时更新升级Drupal框架。与此同时,请做好资产自查以及预防工作,以免遭受黑客攻击。

 

2. 漏洞概述




Drupal使用了PEAR Archive_Tar作为依赖库,在处理如.tar、.tar.gz、.bz2或.tlz等格式的压缩包时,由于过滤不严,攻击者可构造包含符号链接的压缩包,结合上传功能,可能导致存在目录遍历漏洞,甚至远程代码执行漏洞。  

    

3. 漏洞危害




攻击者可利用高危漏洞遍历目录,远程代码执行等等,获得该服务器的控制权限,存在较大的安全隐患。


4. 影响版本




漏洞影响的产品版本包括:

Drupal < 9.1.3

Drupal < 9.0.11

Drupal < 8.9.13

Drupal < 7.78

 

5. 解决方案




1.升级Drupal至最新版本

https://www.drupal.org/project/drupal/issues/3193801

2.设置Drupal禁止用户上传如.tar、.tar.gz、.bz2、.tlz等格式的压缩包。

 

6. 时间轴



-2021年1月20日 Drupal 官方发布安全更新公告

-2021年1月21日 安识科技A-Team团队根据公告分析

-】2021年1月21日 安识科技A-Team


本文作者:安识科技

本文为安全脉搏专栏作者发布,转载请注明:https://www.secpulse.com/archives/152064.html

Tags:
评论  (0)
快来写下你的想法吧!

安识科技

文章数:190 积分: 135

安识科技:专业的企业安全解决方案提供商。官网:https://www.duoyinsu.com/

安全问答社区

安全问答社区

脉搏官方公众号

脉搏公众号