CVE-2021-36193 Drupal 文件目录遍历漏洞
1. 通知信息内容
近日,安识高新科技A-Team精英团队发觉Drupal 官方发布安全补丁,修补了 Drupal 文件目录遍历漏洞(CVE-2020-36193)。
Drupal是应用PHP语言表达撰写的开源系统内容管理系统架构。1月20日Drupal官方发布安全补丁,修补了Drupal 远程控制代码执行漏洞(CVE-2020-36193)。对于此事,安识高新科技精英团队提议众多客户立即升级升級Drupal架构。此外,请搞好财产自纠自查及其防止工作中,以防遭到黑客入侵。
2. 漏洞简述
Drupal应用了PEAR Archive_Tar做为依靠库,在解决如.tar、.tar.gz、.bz2或.tlz等文件格式的压缩文件时,因为过虑关不紧,网络攻击可结构包含符号连接的压缩文件,融合提交作用,很有可能造成 存有文件目录遍历漏洞,乃至远程控制代码执行漏洞。
3. 漏洞伤害
网络攻击可运用高风险漏洞遍历文件目录,远程控制代码执行这些,得到该网络服务器的操纵管理权限,存有很大的安全风险。
4. 危害版本
漏洞危害的商品版本包含:
Drupal < 9.1.3
Drupal < 9.0.11
Drupal < 8.9.13
Drupal < 7.78
5. 解决方法
6. 时间线
【-】2021年1月20日 Drupal 官方发布安全补丁公示
【-】2021年1月21日 安识高新科技A-Team精英团队依据公示剖析
【-】2021年1月21日 安识高新科技A-Team
