发布时间:2021-07-27 19:11:24,来源:腾讯云计算(北京)有限责任公司
近日,Drupal官方发布安全公告,披露了Drupal第三方库存在任意代码执行漏洞,漏洞CVE编号:CVE-2021-32610。攻击者可利用该漏洞执行任意代码攻击。目前Drupal官方已发布新版本修复该漏洞,建议受影响用户及时升级到最新版本进行防护,并做好资产自查以及预防工作,以免遭受黑客攻击。
高危
Drupal是Drupal社区的一套使用PHP语言开发的开源内容管理系统。
该漏洞是由于第三方PEAR Archive_Tar库导致,当contrib或自定义代码使用该库来提取恶意的 tar 文件时(例如 .tar、.tar.gz、.bz2 或 .tlz),从而触发该漏洞,攻击者可通过上传特制文件导致执行任意代码等攻击。
Drupal 7.x < 7.82
Drupal 8.9.x < 8.9.17
Drupal 9.1.x < 9.1.11
Drupal 9.2.x < 9.2.2
建议受影响用户及时升级至Drupal 9.2.2、9.1.11、8.9.17、7.82或更高版本。
下载链接:
https://www.drupal.org/project/drupal/releases/9.2.2
https://www.drupal.org/project/drupal/releases/9.1.11
https://www.drupal.org/project/drupal/releases/8.9.17
https://www.drupal.org/project/drupal/releases/7.82
https://www.drupal.org/sa-core-2021-004