Drupal 解決 CVE-2020-13671 遠程執行代碼漏洞

drupal開發團隊已經發布了安全更新，以修復由于未能正確清理上傳文件名稱而導致的遠程代碼執行漏洞。

根據NIST常見誤用評分系統，該漏洞跟蹤為CVE-2020-13671，已被分類為嚴重。

攻擊者可以通過將具有某些擴展名（phar，php，pl，py，cgi，html，htm，phtml，js和asp）的文件上傳到服務器來實現遠程代碼執行，從而利用此漏洞。

“ Drupal核心無法正確清理上傳文件上的某些文件名，這可能導致文件被解釋為錯誤的擴展名，并被用作錯誤的MIME類型或對于某些托管配置被執行為PHP。” 閱讀Drupal發布的安全公告。

開發團隊已通過發布7.74、8.8.11、8.9.9和9.0.8版本解決了Drupal 7、8和9中的漏洞。

該漏洞是由以下專家報告給團隊的：

• ufku
• Mark Ferree
• Frédéric G. Marand
• Samuel Mortenson of the Drupal Security Team
• Derek Wright

開發團隊建議用戶檢查其服務器中是否包含多個擴展名的文件，例如filename.php.txt或filename.html.gif。

3月，開發團隊發布了8.8.x和8.7.x版本的安全更新，該更新修復了兩個影響CKEditor庫的XSS漏洞。

5月，他們解決了XSS并打開了重定向漏洞，而6月，他們發布了安全更新以解決多個安全漏洞，其中包括一個跟蹤為CVE-2020-13664的“關鍵”漏洞，攻擊者可以利用該漏洞執行任意PHP代碼。

9月，Drupal維護人員修復了流行的內容管理系統（CMS）中的多個信息泄露和跨站點腳本（XSS）漏洞。