服务公告

全部公告 > 安全公告 > Drupal任意PHP代码执行漏洞预警(CVE-2020-28949、CVE-2020-28948)

Drupal任意PHP代码执行漏洞预警(CVE-2020-28949、CVE-2020-28948)

2020-11-26

一、概要

近日,华为云关注到Drupal官方发布安全公告,披露Drupal存在严重的任意PHP代码执行漏洞(CVE-2020-28949、CVE-2020-28948)。攻击者利用漏洞通过上传恶意的.tar 、 .tar.gz 、 .bz2 、 .tlz 文件,可造成远程代码执行。

华为云提醒使用Drupal的用户尽快安排自检并做好安全加固。

参考链接:

https://www.drupal.org/sa-core-2020-013

二、威胁级别

威胁级别:【严重】

(说明:威胁级别共四级:一般、重要、严重、紧急)

三、漏洞影响范围

影响版本:

Drupal < 9.0.9

Drupal < 8.9.10

Drupal < 8.8.12

Drupal < 7.75

安全版本:

Drupal 9.0.9

Drupal 8.9.10

Drupal 8.8.12

Drupal 7.75

四、漏洞处置

目前官方已在最新版本中修复了该漏洞,请受影响的用户及时升级至安全版本。

https://www.drupal.org/project/drupal/releases

缓解措施:

禁止非信任用户上传 .tar 、 .tar.gz 、 .bz2 或 .tlz 文件

注:修复漏洞前请将资料,并进行充分测试。