【安全通报】Drupal远程代码执行漏洞（CVE-2020-36193）

花屋敷 1196天前

Drupal是使用PHP语言编写的开源内容管理框架（CMF），它由内容管理系统（CMS）和PHP开发框架（framework）共同构成，在GPL2.0及更新协议下发布。

近日，Drupal官方发布安全公告，公告提示Drupal第三方库存在严重漏洞，攻击者可利用该漏洞执行恶意代码，可导致获取服务器权限等风险。如果将Drupal配置为允许.tar，.tar.gz，.bz2或.tlz文件上传并执行，则可能会导致该漏洞的利用。该漏洞是由于第三方库Archive_Tar（1.4.11之前版本）中的Tar.php导致。由于符号链接检查不充分从而可导致目录穿越的写操作（与CVE-2020-28948相关类似）。目前互联网上已披露漏洞利用相关poc，建议相关用户尽快采取安全措施阻止漏洞攻击。

影响范围

Drupal 7系列，版本号 < 7.78
Drupal 8.9系列，版本号 < 8.9.13
Drupal 9.0系列，版本号 < 9.0.11
Drupal 9.1系列，版本号 < 9.1.3

根据目前FOFA系统最新数据（一年内数据），显示全球范围内（app="Drupal"）共有 506,862 个相关服务对外开放。美国使用数量最多，共有 172,320 个；中国大陆第二，共有 51,303 个；德国第三，共有 38,762 个；法国第四，共有 37,808 个；英国第五，共有 18,008 个。

全球范围内分布情况如下（仅为分布情况，非漏洞影响情况）