GA黄金甲

首页 > 安全钻研 > 安全传递 > 安全公告

【缝隙公告】Drupal目录遍历缝隙（CVE-2020-36193）

颁布功夫 2021-01-22

0x00 缝隙概述

CVE ID	CVE-2020-36193	时间	2021-01-22
类型	目录遍历	等级	严沉
远程利用	是	影响领域

0x01 缝隙详情

Drupal是PHP编写的开源内容治理框架（CMF），它由内容治理系统（CMS）和PHP开发框架（Framework）共同组成。PEAR全称为PHP扩大与利用库，它是一个PHP扩大及利用的一个代码仓库。

2021年1月20日,Drupal颁布安全布告，Drupal中存在一个目录遍历缝隙（CVE-2020-36193），官方评级为严沉。详情如下：

Durpal使用的PEAR Archive_Tar是一款用于在PHP中创建、提取和列出tar文件的工具类。由于Archive_Tar在处置如.tar、.tar.gz、.bz2或.tlz等体式的压缩包时过滤不严（缝隙追踪为CVE-2020-28948），且Archive_Tar中的Tar.php对符号链接查抄不充分，攻击者能够通过上传蕴含符号链接的压缩包来利用此缝隙，最终导致目录遍历或远程代码执行。

影响领域

Drupal < 9.1.3

Drupal < 9.0.11

Drupal < 8.9.13

Drupal < 7.78

0x02 措置建议

目前，Drupal团队已经建复了此缝隙，建议实时升级至如下版本：

受影响版本	建复版本	下载链接
Drupal< 9.1.3	Drupal 9.1.3	https://ftp.drupal.org/files/projects/drupal-9.1.3.tar.gz https://ftp.drupal.org/files/projects/drupal-9.1.3.zip
Drupal< 9.0.11	Drupal 9.0.11	https://ftp.drupal.org/files/projects/drupal-9.0.11.tar.gz https://ftp.drupal.org/files/projects/drupal-9.0.11.zip
Drupal< 8.9.13	Drupal 8.9.13	https://ftp.drupal.org/files/projects/drupal-8.9.13.tar.gz https://ftp.drupal.org/files/projects/drupal-8.9.13.zip
Drupal< 7.78	Drupal 7.78	https://ftp.drupal.org/files/projects/drupal-7.78.tar.gz https://ftp.drupal.org/files/projects/drupal-7.78.zip

0x03 参考链接

https://www.drupal.org/sa-core-2021-001

/new_type/aqtg/20201126/22124.html

https://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2020-36193

0x04 功夫线

2021-01-20 Drupal颁布安全布告

2021-01-22 VSRC颁布安全公告

0x05 附录

CVSS评分尺度官网：http://www.first.org/cvss/

上一篇下一篇

7*24幼时服务热线

400-624-3900

+86(10)56631988(港澳专线)

04152424g9z1

官方微信

12145445s033

官方微博

网御星云合多数据书生电子云子可信

司法申明

Copyright ? GA黄金甲版权所有京ICP备05032414号京公网安备11010802024551号

【网站地图】