漏洞描述
Drupal是使用PHP语言编写的开源内容管理框架(CMF),它由内容管理系统(CMS)和PHP开发框架(Framework)共同构成。
11月25日,Drupal发布了Drupal代码执行漏洞的风险通告,远程攻击者通过上传特殊构造的.tar、.tar.gz、.bz2、.tlz文件,可造成任意代码执行。
漏洞编号
CVE--28948
CVE--28949
风险等级
高危
漏洞评分
7.2
影响版本
Drupal 9.0
Drupal8.9
Drupal8.8.x
Drupal7
修复建议
官方已发布补丁更新,请及时更新。
Drupal 9版本用户,请升级到9.0.9,升级下载链接:
/project/drupal/releases/9.0.9
Drupal 8.9版本用户,请升级到8.9.10,升级下载链接:
/project/drupal/releases/8.9.10
Drupal 8.8及之前版本用户,请升级到8.8.12,升级下载链接:
/project/drupal/releases/8.8.12
Drupal 7版本用户,请升级到7.75,升级下载链接:
/project/drupal/releases/7.75
情报来源
/sa-core--013