【漏洞详情】

Drupal是使用PHP语言编写的开源内容管理框架。近日Drupal官方发布安全更新，修复了两个Drupal远程代码执行漏洞（CVE-2020-28949、CVE-2020-28948）。Drupal将PEAR Archive_Tar作为依赖库，在处理如.tar、.tar.gz、.bz2或.tlz等格式的压缩包时，由于过滤不严，存在PHAR反序列化漏洞，成功利用后可实现远程代码执行。

【漏洞评级】

高危

【 影响范围】

l  Drupal < 9.0.9

l  Drupal < 8.9.10

l  Drupal < 8.8.12

l  Drupal < 7.75

【修复建议】

官方已经提供最新版本，建议受影响的用户结合实际业务评估漏洞风险影响，可通过如下方案避免安全风险。

方案一，升级Drupal至最新版本；

方案二，设置Drupal禁止用户上传如.tar、.tar.gz、.bz2、.tlz等格式的压缩包。

【参考链接】

https://www.drupal.org/sa-core-2020-013

特别提醒：清除恶意文件前请进行充分测试，并务必做好数据备份和快照，防止出现意外。

平安云

2020年11月27日