【漏洞通告】Drupal目录遍历漏洞(CVE-2020-36193)

发布时间 2021-01-22

0x00 漏洞概述

CVE  ID

CVE-2020-36193

时   间

2021-01-22

类  型

目录遍历

等   级

严重

远程利用

影响范围


 

0x01 漏洞详情

image.png

 

Drupal是PHP编写的开源内容管理框架(CMF),它由内容管理系统(CMS)和PHP开发框架(Framework)共同构成。PEAR全称为PHP扩展与应用库,它是一个PHP扩展及应用的一个代码仓库。

2021年1月20日,Drupal发布安全公告,Drupal中存在一个目录遍历漏洞(CVE-2020-36193),官方评级为严重。详情如下:

Durpal使用的PEAR Archive_Tar是一款用于在PHP中创建、提取和列出tar文件的工具类。由于Archive_Tar在处理如.tar、.tar.gz、.bz2或.tlz等格式的压缩包时过滤不严(漏洞追踪为CVE-2020-28948),且Archive_Tar中的Tar.php对符号链接检查不充分,攻击者可以通过上传包含符号链接的压缩包来利用此漏洞,最终导致目录遍历或远程代码实行。

影响范围

Drupal < 9.1.3

Drupal < 9.0.11

Drupal < 8.9.13

Drupal < 7.78

 

 

0x02 处置建议

目前,Drupal团队已经修复了此漏洞,建议及时升级至如下版本:

受影响版本

修复版本

下载链接

Drupal<

9.1.3

Drupal 9.1.3

https://ftp.drupal.org/files/projects/drupal-9.1.3.tar.gz

https://ftp.drupal.org/files/projects/drupal-9.1.3.zip

Drupal<

9.0.11

Drupal 9.0.11

https://ftp.drupal.org/files/projects/drupal-9.0.11.tar.gz

https://ftp.drupal.org/files/projects/drupal-9.0.11.zip

Drupal<

8.9.13

Drupal 8.9.13

https://ftp.drupal.org/files/projects/drupal-8.9.13.tar.gz

https://ftp.drupal.org/files/projects/drupal-8.9.13.zip

Drupal< 7.78

Drupal 7.78

https://ftp.drupal.org/files/projects/drupal-7.78.tar.gz

https://ftp.drupal.org/files/projects/drupal-7.78.zip

 

 

0x03 参考链接

https://www.drupal.org/sa-core-2021-001

/new_type/aqtg/20201126/22124.html

https://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2020-36193

0x04 时间线

2021-01-20  Drupal发布安全公告

2021-01-22  VSRC发布安全通告

 

0x05 附录

 

CVSS评分标准官网:http://www.first.org/cvss/

image.png