您所在的位置: 首頁 >
安全研究 >
安全通告 >
Drupal任意代碼執(zhí)行漏洞(CVE)預(yù)警
Drupal任意代碼執(zhí)行漏洞(CVE-2021-32610)預(yù)警
一、漏洞情況
近日,Drupal官方發(fā)布安全公告,披露了Drupal第三方庫存在任意代碼執(zhí)行漏洞,漏洞CVE編號:CVE-2021-32610。攻擊者可利用該漏洞執(zhí)行任意代碼攻擊。目前Drupal官方已發(fā)布新版本修復(fù)該漏洞,建議受影響用戶及時升級到最新版本進行防護,并做好資產(chǎn)自查以及預(yù)防工作,以免遭受黑客攻擊。
二、漏洞等級
高危
三、漏洞描述
Drupal是Drupal社區(qū)的一套使用PHP語言開發(fā)的開源內(nèi)容管理系統(tǒng)。
該漏洞是由于第三方PEAR Archive_Tar庫導致,當contrib或自定義代碼使用該庫來提取惡意的 tar 文件時(例如 .tar、.tar.gz、.bz2 或 .tlz),從而觸發(fā)該漏洞,攻擊者可通過上傳特制文件導致執(zhí)行任意代碼等攻擊。
四、影響范圍
Drupal 7.x < 7.82
Drupal 8.9.x < 8.9.17
Drupal 9.1.x < 9.1.11
Drupal 9.2.x < 9.2.2
五、安全建議
建議受影響用戶及時升級至Drupal 9.2.2、9.1.11、8.9.17、7.82或更高版本。
下載鏈接:
https://www.drupal.org/project/drupal/releases/9.2.2
https://www.drupal.org/project/drupal/releases/9.1.11
https://www.drupal.org/project/drupal/releases/8.9.17
https://www.drupal.org/project/drupal/releases/7.82
六、參考鏈接
https://www.drupal.org/sa-core-2021-004
原文來源:網(wǎng)絡(luò)安全威脅和漏洞信息共享平臺