近日,我司监测到Drupal发布安全公告,修复了一个存在于Drupal中的代码执行漏洞。如果网站被配置为允许上传带有htaccess扩展名的文件,则这些文件的文件名将不会被正确清理,可以利用此漏洞绕过Drupal核心的默认.htaccess文件提供的保护,并在 Apache Web服务器上远程执行代码。但这需要管理员显式配置文件字段以允许htaccess作为扩展名(受限权限)或允许其它不安全配置。
Drupal是使用PHP语言编写的开源内容管理框架(CMF),它由内容管理系统(CMS)和PHP开发框架(Framework)共同构成,在GPL2.0及更新协议下发布。连续多年荣获全球最佳CMS大奖,是基于PHP语言最著名的WEB应用程序。
影响版本:
安全版本:
修复建议:
官方已发布安全版本,请及时下载更新,下载地址:
https://www.drupal.org/project/drupal/releases/9.4.3
https://www.drupal.org/project/drupal/releases/9.3.19
评论已关闭。
豫公网安备 41010502004035号 
