一、概要

近日，華為云關(guān)注到Drupal官方發(fā)布安全公告，披露Drupal存在嚴(yán)重的任意PHP代碼執(zhí)行漏洞（CVE-2020-28949、CVE-2020-28948）。攻擊者利用漏洞通過上傳惡意的.tar 、 .tar.gz 、 .bz2 、 .tlz 文件，可造成遠程代碼執(zhí)行。

華為云提醒使用Drupal的用戶盡快安排自檢并做好安全加固。

參考鏈接：

https://www.drupal.org/sa-core-2020-013

二、威脅級別

威脅級別：【嚴(yán)重】

（說明：威脅級別共四級：一般、重要、嚴(yán)重、緊急）

三、漏洞影響范圍

影響版本：

Drupal < 9.0.9

Drupal < 8.9.10

Drupal < 8.8.12

Drupal < 7.75

安全版本：

Drupal 9.0.9

Drupal 8.9.10

Drupal 8.8.12

Drupal 7.75

四、漏洞處置

目前官方已在最新版本中修復(fù)了該漏洞，請受影響的用戶及時升級至安全版本。

https://www.drupal.org/project/drupal/releases

緩解措施：

禁止非信任用戶上傳 .tar 、 .tar.gz 、 .bz2 或 .tlz 文件

注：修復(fù)漏洞前請將資料備份，并進行充分測試。