1. 通知信息内容

近日，安识高新科技A-Team精英团队发觉Drupal 官方发布安全补丁，修补了 Drupal 文件目录遍历漏洞（CVE-2020-36193）。

Drupal是应用PHP语言表达撰写的开源系统内容管理系统架构。1月20日Drupal官方发布安全补丁，修补了Drupal 远程控制代码执行漏洞（CVE-2020-36193）。对于此事，安识高新科技精英团队提议众多客户立即升级升級Drupal架构。此外，请搞好财产自纠自查及其防止工作中，以防遭到黑客入侵。

2. 漏洞简述

Drupal应用了PEAR Archive_Tar做为依靠库，在解决如.tar、.tar.gz、.bz2或.tlz等文件格式的压缩文件时，因为过虑关不紧，网络攻击可结构包含符号连接的压缩文件，融合提交作用，很有可能造成 存有文件目录遍历漏洞，乃至远程控制代码执行漏洞。

3. 漏洞伤害

网络攻击可运用高风险漏洞遍历文件目录，远程控制代码执行这些，得到该网络服务器的操纵管理权限，存有很大的安全风险。

4. 危害版本

漏洞危害的商品版本包含：

Drupal < 9.1.3

Drupal < 9.0.11

Drupal < 8.9.13

Drupal < 7.78

5. 解决方法

6. 时间线

【-】2021年1月20日 Drupal 官方发布安全补丁公示

【-】2021年1月21日 安识高新科技A-Team精英团队依据公示剖析

【-】2021年1月21日 安识高新科技A-Team