一、基本情况

近日，Drupal发布了Drupal PHP代码执行漏洞的风险通告，相关漏洞编号：CVE-2020-28949、CVE-2020-28948。攻击者利用漏洞通过上传恶意的.tar、.tar.gz、.bz2、.tlz文件，可造成远程代码执行。目前Drupal官方已发布最新版本修复漏洞，建议受影响用户及时升级至修复版本，做好资产自查以及预防工作，以免遭受黑客攻击。

二、漏洞等级

高危、

三、漏洞详情

Drupal是一套基于PHP语言编写的开源开发型CMF系统，由内容管理系统（CMS）和PHP开发框架（Framework）共同构成。在Drupal项目中用来进行文件管理的PEAR Archive_Tar库存在代码执行漏洞。

Drupal PHP代码执行漏洞（CVE-2020-28948）

该漏洞由于1.4.10及之前版本的Archive_Tar库在处理.tar、.tar.gz、.bz2或.tlz等格式的压缩包时过滤不严，可能导致存在PHAR反序列化漏洞，从而造成远程代码执行。

Drupal PHP代码执行漏洞（CVE-2020-28949）

该漏洞由于1.4.10及之前的Archive_Tar库具有：//文件名清除功能，但该功能仅能防护phar://伪协议攻击，其它任何流包装器攻击（如file：//）仍然可被攻击者成功利用。

四、影响范围

Drupal 9.0

Drupal 8.9

Drupal <8.8

Drupal 7

五、处置建议

1）官方建议

目前官方已发布最新版修复以上漏洞，建议受影响用户升级至对应版本进行漏洞修复。

下载地址：https://www.drupal.org/sa-core-2020-013

2）临时修复

若当前用户暂时无法进行升级操作，可禁止用户上传 .tar,.tar.gz,.bz2或.tlz文件。

六、参考链接

1）https://github.com/pear/Archive_Tar/issues/33

2）https://lists.debian.org/debian-lts-announce/2020/11/msg00045.html