bbin宝盈集团

【漏洞通告】Drupal 远程代码执行漏洞（CVE-2020-13671）通告

2020-11-20

一. 漏洞概述

11月19日，bbin宝盈集团科技监测到 Drupal 官方发布安全公告修复了 Drupal 远程代码执行漏洞（CVE-2020-13671），由于Drupal core 没有正确地处理上传文件中的某些文件名，导致在特定配置下后续处理中文件会被错误地解析为其他MIME类型，未授权的远程攻击者可通过上传特定文件名的恶意文件，从而实现任意代码执行。请相关用户尽快采取措施进行防护。

Drupal是使用PHP语言编写的开源内容管理框架（CMF），由内容管理系统（CMS）和PHP开发框架（Framework）共同构成。

参考链接：

http://www.drupal.org/sa-core-2020-012

二. 影响范围

受影响版本

Drupal < 7.7.4

Drupal < 8.8.11

Drupal < 8.9.9

Drupal < 9.0.8

注：8.8.x之前的Drupal 8版本官方已经停止维护。

不受影响版本

Drupal 7.7.4

Drupal 8.8.11

Drupal 8.9.9

Drupal 9.0.8

三. 安全检测

3.1 版本检查

相关用户可通过查看当前使用的Drupal版本来确定是否受该漏洞影响，登录后台后，依次点击“管理”-“日志”-“报告状态”，即可查看当前的应用版本：

如果当前版本在受影响范围内，则存在安全风险。

3.2 文件排查

相关用户可对Drupal目录下已经存在的文件进行排查，尤其注意如 filename.php.txt 或 filename.html.gif 这类包含多个扩展名的文件，扩展名中是否存在下划线 _ 。特别注意以下文件扩展名，即使后面跟着一个或多个其他扩展名，也应该被认为是危险文件，例如：phar、php、pl、py、cgi、asp、js、html、htm、phtml等。

四. 漏洞防护

4.1 官方升级

目前官方已发布新版本修复了此漏洞，请受影响的用户尽快升级至对应的新版本进行防护：

修复版本	下载链接
Drupal 7.7.4	http://www.drupal.org/project/drupal/releases/7.74
Drupal 8.8.11	http://www.drupal.org/project/drupal/releases/8.8.11
Drupal 8.9.9	http://www.drupal.org/project/drupal/releases/8.9.9
Drupal 9.0.8	http://www.drupal.org/project/drupal/releases/9.0.8