Drupal官方发布安全更新,披露了一个任意PHP代码执行漏洞,攻击者可利用该漏洞执行恶意代码,入侵服务器。
Drupal项目使用PEARArchive_Tar库,PEARArchive_Tar库已经发布了影响Drupal的安全更新。如果将Drupal配置为允许.tar,.tar.gz,.bz2或.tlz文件上传并处理它们,则可能存在多个漏洞,漏洞被利用可导致任意的PHP代码执行。
Drupal是一个自由开源内容管理系统,用PHP语言编写。Drupal常被视为内容管理框架(CMF),而非一般意义上的内容管理系统(CMS)。
2漏洞编号CVE--
CVE--
3漏洞等级高风险
4受影响的版本Drupal7系列,版本号7.75
Drupal8.8系列,版本号8.8.12
Drupal8.9系列,版本号8.9.10
Drupal9.0系列,版本号9.0.9
5安全版本Drupal9.0.9
Drupal8.9.10
Drupal8.8.12
Drupal7.75
6漏洞修复漏洞修复建议:
腾讯安全专家建议受影响的用户升级Drupal到 版本。官方已发布安全版本,检查您的Drupal是否在受影响版本范围,如受影响,请你选择合理时间进行升级操作,及时升级到安全版本,避免影响业务。
下载