11月19日，金山云安全应急响应中心监测到Drupal官方发布安全更新，修复了一个远程代码执行漏洞，CVE-2020-136781。

该漏洞风险等级为高危，建议相关用户及时将Drupal升级到最新版本，避免遭受恶意攻击。

漏洞描述

Drupal是使用PHP语言编写的开源内容管理框架。Drupal存在远程代码执行漏洞，由于Drupal core 没有正确地处理上传文件中的某些文件名，攻击者通过上传恶意文件，在某些特定的配置下可能会被当做PHP解析，从而导致远程代码执行。

风险等级

高危

影响版本

Drupal < 9.0.8

Drupal < 8.9.9

Drupal < 8.8.11

Drupal < 7.7.4

修复建议

1. 升级到安全版本；

2. 对Drupal目录下的文件进行排查，主要检查具有多个扩展名的文件；

安全版本：

Drupal 9.0.8

Drupal 8.9.9

Drupal 8.8.11

Drupal 7.7.4

参考链接

https://www.drupal.org/sa-core-2020-012

北京金山云网络技术有限公司

2020/11/19