【风险通告】Drupal远程代码执行漏洞
发布时间:2020-11-19 00:00:00
11月19日,金山云安全应急响应中心监测到Drupal官方发布安全更新,修复了一个远程代码执行漏洞,CVE-2020-136781。
该漏洞风险等级为高危,建议相关用户及时将Drupal升级到最新版本,避免遭受恶意攻击。
漏洞描述
Drupal是使用PHP语言编写的开源内容管理框架。Drupal存在远程代码执行漏洞,由于Drupal core 没有正确地处理上传文件中的某些文件名,攻击者通过上传恶意文件,在某些特定的配置下可能会被当做PHP解析,从而导致远程代码执行。
风险等级
高危
影响版本
Drupal < 9.0.8
Drupal < 8.9.9
Drupal < 8.8.11
Drupal < 7.7.4
修复建议
1. 升级到安全版本;
2. 对Drupal目录下的文件进行排查,主要检查具有多个扩展名的文件;
安全版本:
Drupal 9.0.8
Drupal 8.9.9
Drupal 8.8.11
Drupal 7.7.4
参考链接
https://www.drupal.org/sa-core-2020-012
北京金山云网络技术有限公司
2020/11/19
以上就是金山云为您带来的【风险通告】Drupal远程代码执行漏洞的全部内容,如果还想了解更多内容可访问金山云官网www.ksyun.com了解其它资讯。