近日，金山云安全应急响应中心监测到Drupal官方发布安全更新，修复了一个远程代码执行漏洞，CVE-2020-36193。

该漏洞风险官方评级为严重，建议使用了Drupal的用户及时将升级到最新版本，避免遭受恶意攻击。

漏洞描述

Drupal是使用PHP语言编写的开源内容管理框架。

Drupal使用了PEAR Archive_Tar作为依赖库，在处理如.tar、.tar.gz、.bz2或.tlz等格式的压缩包时未对符号链接进行严格校验导致目录穿越。攻击者通过上传特制的 tar 类型文件，利用解压过程中的目录穿越漏洞可以将web shell 解压至web目录，从而获得 Drupal 服务器控制权限。

风险等级

严重

影响版本

Drupal < 9.1.3

Drupal < 9.0.11

Drupal < 8.9.13

Drupal < 7.78

安全版本

Drupal 9.1.3

Drupal 9.0.11

Drupal 8.9.13

Drupal 7.78

修复建议

1. 升级到安全版本；

2. 设置Drupal禁止用户上传如.tar、.tar.gz、.bz2、.tlz等格式的压缩包。；

参考链接

https://www.drupal.org/sa-core-2021-001

北京金山云网络技术有限公司

2020/01/22