• <code id="aw09e"><small id="aw09e"><track id="aw09e"></track></small></code>
  • <center id="aw09e"><em id="aw09e"></em></center>
    1. <code id="aw09e"><em id="aw09e"></em></code>
      <th id="aw09e"></th>
      <object id="aw09e"><option id="aw09e"><mark id="aw09e"></mark></option></object>

      1. <object id="aw09e"><nobr id="aw09e"></nobr></object><big id="aw09e"><em id="aw09e"></em></big>
        <code id="aw09e"></code>

      2. <pre id="aw09e"></pre>

        CVE-2020-13671:Drupal 遠程代碼執行漏洞通告

        時間:2020-11-20

        0x01 漏洞簡述

        2020年11月19日,360CERT監測發現Drupal發布了Drupal 代碼執行漏洞的風險通告,該漏洞編號為CVE-2020-13671,漏洞等級:高危,漏洞評分:8.1。

        未授權的遠程攻擊者通過上傳特定文件名的文件,可造成任意代碼執行。

        對此,360CERT建議廣大用戶及時將Drupal升級到最新版本。與此同時,請做好資產自查以及預防工作,以免遭受黑客攻擊。

        0x02 風險等級

        360CERT對該漏洞的評定結果如下

        評定方式

        等級

        威脅等級

        高危

        影響面

        廣泛

        360CERT評分

        8.1

        0x03 漏洞詳情

        CVE-2020-13671: 代碼執行漏洞

        Drupal core沒有正確地處理上傳文件中的某些文件名,這可能導致文件被解釋為不正確的擴展名,并被用作錯誤的MIME類型,在某些特定的配置下,可能會被當作php解析,導致遠程代碼執行。

        0x04 影響版本

        Drupal:Drupal: 9.0

        Drupal:Drupal: 8.9

        Drupal:Drupal: 8.8.x

        Drupal:Drupal: 7

        0x05 修復建議

        通用修補建議

        升級到最新版本

        Drupal 9.0版本用戶,更新至Drupal 9.0.8

        Drupal 8.9版本用戶,更新至Drupal 8.9.9

        Drupal 8.8 以及之前版本用戶, 更新至Drupal 8.8.11

        Drupal 7版本用戶,更新至Drupal 7.7.4

        臨時修補建議

        對已經存在對文件名進行檢測,特別注意如filename.php.txt或filename.html.gif這類包含多個擴展名的文件,擴展名中是否存在下劃線_。特別注意以下文件擴展名,即使后面跟著一個或多個額外擴展名,也應該被認為是危險的:

        phar

        php

        pl

        py

        cgi

        asp

        js

        html

        htm

        phtml

        0x06 相關空間測繪數據

        360安全大腦-Quake網絡空間測繪系統通過對全網資產測繪,發現Drupal在全球均有廣泛使用,具體分布如下圖所示。

        0x07 時間線

        2020-11-18Drupal官方發布通告

        2020-11-19360CERT發布通告

        0x08 參考鏈接

        1、Drupal core – Critical – Remote code execution – SA-CORE-2020-012

         

        本文由360CERT安全通告原創發布

        出處:https://www.anquanke.com/post/id/222966

        美国十次,欧美av,欧美情色,美国十次啦导航,美国十次啦超线导航_美国十次啦av导航