漏洞情报 | Drupal 远程代码执行漏洞CVE -2020-28948、CVE-2020-28949漏洞威胁通告

漏洞情报 | Drupal 远程代码执行漏洞CVE -2020-28948、CVE-2020-28949漏洞威胁通告
2020-12-03 11:04:43 Author: www.secpulse.com(查看原文) 阅读量:361 收藏

通告信息

近日，安识科技A-Team团队监测到Drupal官方发布了安全更新，修复了Drupal远程代码执行漏洞(CVE-2020-28948、CVE-2020-28949)。

Drupal框架使用了PEAR Archive_Tar作为依赖库在对tar包进行创建、提取等操作时，由于过滤不严，可能导致phar反序列化从而造成远程代码执行。安识科技建议受影响的用户尽快升级到安全版本。

漏洞概述

Drupal是使用PHP语言的开源内容管理框架。11月25日Drupal官方发布安全更新，修复了Drupal 远程代码执行漏洞。

Drupal使用了PEAR Archive_Tar作为依赖库，因为phar文件本质上是一种压缩文件，所以在处理，如.tar、.zip、.tlz等格式的压缩包时，由于过滤不严，可能导致存在phar反序列化漏洞，从而造成远程代码执行。

漏洞危害

攻击者可以通过构造恶意的phar压缩文件，上传到服务器，当Drupal在处理此文件时，造成phar反序列化漏洞，从而导致远程代码执行。

影响版本

漏洞影响的产品版本包括：

Drupal < 9.0.9

Drupal < 8.9.10

Drupal < 8.8.12

Drupal < 7.75

解决方案

安识科技建议广大用户及时更新Drupal版本：

https://www.drupal.org/sa-core-2020-013

时间轴

【-】2020年11月25日 Drupal官方发布了安全更新

【-】2020年11月26日安识科技A-Team团队根据官网公告分析

【-】2020年11月26日安识科技A-Team团队发布安全通告

本文作者：安识科技

本文为安全脉搏专栏作者发布，转载请注明：https://www.secpulse.com/archives/148356.html

文章来源: https://www.secpulse.com/archives/148356.html
如有侵权请联系:admin#unsafe.sh