综述
北京时间11月19日,Drupal官方发布安全通告称修复了一个远程代码执行漏洞CVE-2020-13671。该漏洞源于Drupal Core没有正确的处理上传文件的文件名,导致后续处理中文件会被错误地解析为其他MIME类型,在特定的配置下,文件可能会被当做PHP解析,从而导致远程代码执行。
受影响产品版本
- Drupal 9.0.x
- Drupal 8.9.x
- Drupal 8.8.x
- Drupal 7.x
不受影响版本
- Drupal 9.0.8
- Drupal 8.9.9
- Drupal 8.8.11
- Drupal 7.74
解决方案
目前Drupal官方已经发布了新版本修复了上述漏洞,受影响的用户应尽快升级进行防护。
新版本下载地址如下:
Drupal 9.0:
https://www.drupal.org/project/drupal/releases/9.0.8
Drupal 8.9:
https://www.drupal.org/project/drupal/releases/8.9.9
Drupal 8.8:
https://www.drupal.org/project/drupal/releases/8.8.11
Drupal 7 :
https://www.drupal.org/project/drupal/releases/7.74
同时,用户可以检查已上传的文件中是否存在可疑的文件名,尤其是多个后缀的文件,具体建议可参考官方通告: