Drupal 修复远程代码执行漏洞

该漏洞被评为“高危“漏洞，但值得注意的是，Drupal 使用了 NIST Common Misuse Scoring System。该系统的评分范围是0到25，而”严重“只是第二严重的评级，它之上是”非常严重“等级。

可将文件上传到服务器上的攻击者可使用某些扩展类型，绕过限制并执行恶意代码。

Drupal 发布安全公告指出，“Drupal 核心未正确清理所上传文件的某些文件名称，从而导致文件被解释为不正确的扩展，且用作错误的 MIME 类型或在某些托管配置下以 PHP 执行。“

多名研究员向 Drupal 报告了该问题，目前已发布版本 7.74、8.8.11、8.9.9和9.0.8，分别在Drupal 7、8、9中修复。

Drupal 建议用户检查服务器中的文件是否存在潜在的恶意扩展如 filename.php.txt 或 filename.html.gif。用户应当对具有如下扩展的文件保持警惕：phar、php、pl、py、cgi、html、htm、phtml、js 和 asp。

这是Drupal 开发人员今年发布的第五次安全更新。3月，他们更新了 CKEditor，修复了 XSS 漏洞；5月，他们解决了 XSS 漏洞和开放重定向漏洞；6月，他们修复了代码执行漏洞和多个其它类型的漏洞；9月，他们修复了 XSS 漏洞和信息泄漏漏洞。

奇安信代码卫士 (codesafe)

国内首个专注于软件开发安全的

产品线。