一、概要

近日，華為云關(guān)注到Drupal官方發(fā)布安全公告，披露Drupal存在一處遠程代碼執(zhí)行漏洞（CVE-2020-36193），該漏洞是由于第三方庫pear Archive_Tar導(dǎo)致的，如果Drupal配置為允許.tar、.tar.gz、.bz2或.tlz文件上傳并處理這些文件，可能會被惡意攻擊者利用導(dǎo)致遠程代碼執(zhí)行。

華為云提醒使用Drupal的用戶及時安排自檢并做好安全加固。

參考鏈接：

https://www.drupal.org/sa-core-2021-001

二、威脅級別

威脅級別：【嚴重】

（說明：威脅級別共四級：一般、重要、嚴重、緊急） 

三、漏洞影響范圍

影響版本：

Drupal 9.1系列 < 9.1.3

Drupal 9.0系列 < 9.0.11

Drupal 8.9系列 < 8.9.13

Drupal 7系列 < 7.78

（8.9.x之前的Drupal 8版本已經(jīng)停止維護，并且不接受安全保護）

安全版本：

Drupal 9.1系列  9.1.3

Drupal 9.0系列  9.0.11

Drupal 8.9系列  8.9.13

Drupal 7系列  7.78

四、漏洞處置

目前官方已在高版本中修復(fù)了該漏洞，請受影響的用戶升級至安全版本。

注：修復(fù)漏洞前請將資料備份，并進行充分測試。