Drupal任意代碼執(zhí)行漏洞(CVE-2021-32610)預(yù)警

一、漏洞情況

近日，Drupal官方發(fā)布安全公告，披露了Drupal第三方庫(kù)存在任意代碼執(zhí)行漏洞，漏洞CVE編號(hào)：CVE-2021-32610。攻擊者可利用該漏洞執(zhí)行任意代碼攻擊。目前Drupal官方已發(fā)布新版本修復(fù)該漏洞，建議受影響用戶及時(shí)升級(jí)到最新版本進(jìn)行防護(hù)，并做好資產(chǎn)自查以及預(yù)防工作，以免遭受黑客攻擊。

二、漏洞等級(jí)

高危

三、漏洞描述

Drupal是Drupal社區(qū)的一套使用PHP語(yǔ)言開發(fā)的開源內(nèi)容管理系統(tǒng)。

該漏洞是由于第三方PEAR Archive_Tar庫(kù)導(dǎo)致，當(dāng)contrib或自定義代碼使用該庫(kù)來(lái)提取惡意的 tar 文件時(shí)(例如 .tar、.tar.gz、.bz2 或 .tlz)，從而觸發(fā)該漏洞，攻擊者可通過上傳特制文件導(dǎo)致執(zhí)行任意代碼等攻擊。

四、影響范圍

Drupal 7.x < 7.82

Drupal 8.9.x < 8.9.17

Drupal 9.1.x < 9.1.11

Drupal 9.2.x < 9.2.2

五、安全建議

建議受影響用戶及時(shí)升級(jí)至Drupal 9.2.2、9.1.11、8.9.17、7.82或更高版本。

下載鏈接：

https://www.drupal.org/project/drupal/releases/9.2.2

https://www.drupal.org/project/drupal/releases/9.1.11

https://www.drupal.org/project/drupal/releases/8.9.17

https://www.drupal.org/project/drupal/releases/7.82

六、參考鏈接

https://www.drupal.org/sa-core-2021-004

原文來(lái)源：網(wǎng)絡(luò)安全威脅和漏洞信息共享平臺(tái)