首頁 > 安全研究 > 安全通報 > 安全通告

CVE-2020-28948 | Drupal遠程代碼執行漏洞通告

發布時間 2020-11-26

0x00 漏洞概述

產品名稱

CVE ID

類 型

漏洞等級

遠程利用

Drupal core

CVE-2020-28948

遠程代碼執行

高危

CVE-2020-28949

遠程代碼執行

高危

 

0x01 漏洞詳情

 

image.png

 

Drupal是PHP編寫的開源內容管理框架(CMF),它由內容管理系統(CMS)和PHP開發框架(Framework)共同構成。PEAR全稱為PHP擴展與應用庫,它是一個PHP擴展及應用的一個代碼倉庫。

2020年11月25日,Drupal發布安全公告,Drupal中存在兩個遠程代碼執行漏洞(CVE-2020-28948和CVE-2020-28949)。詳情如下:

Drupal遠程代碼執行漏洞(CVE-2020-28948)

Durpal使用的PEAR Archive_Tar是一款用于在PHP中創建、提取和列出tar文件的工具類。由于1.4.10及之前的Archive_Tar類在處理如.tar、.tar.gz、.bz2或.tlz等格式的壓縮包時過濾不嚴,可能導致存在PHAR反序列化漏洞,從而造成遠程代碼執行。

 

Drupal遠程代碼執行漏洞(CVE-2020-28949)

由于1.4.10及之前的Archive_Tar類具有://文件名清除功能,但該功能僅能防護phar://偽協議攻擊,其它任何流包裝器攻擊(如file://)仍然可以被攻擊者成功利用。

 

影響范圍:

Drupal 7

Drupal 8.8及之前版本

Drupal 8.9

Drupal 9.0

 

0x02 處置建議

目前Drupal團隊已經發布了安全更新,建議升級至如下版本。

影響版本

修復版本

下載鏈接

Drupal 7

Drupal   7.75

https://www.drupal.org/project/drupal/releases/7.75

Drupal   8.8及之前版本

Drupal   8.8.12

https://www.drupal.org/project/drupal/releases/8.8.12

Drupal   8.9

Drupal   8.9.10

https://www.drupal.org/project/drupal/releases/8.9.10

Drupal   9.0

Drupal   9.0.9

https://www.drupal.org/project/drupal/releases/9.0.9

 

緩解措施:

禁止用戶上傳.tar、.tar.gz、.bz2或.tlz類型的壓縮包。

 

0x03 參考鏈接

https://www.drupal.org/sa-core-2020-013

https://www.tenable.com/cve/CVE-2020-28948

https://nvd.nist.gov/vuln/detail/CVE-2020-28948

 

0x04 時間線

2020-11-25  Drupal發布安全公告

2020-11-26  VSRC發布安全通告

 

0x05 附錄

 

CVSS評分標準官網:http://www.first.org/cvss/



image.png

上一篇 下一篇