| 風險等級: | 高度威脅 |
| 摘 要: | 弱點通告:Drupal 近日發布更新以解決產品的安全性弱點,建議請管理者儘速評估更新! |
| 影響系統: |
|
| 解決辦法: | 安裝最新版本: 如果您使用的是Drupal 9.0,請更新至Drupal 9.0.8(含) 如果您使用的是Drupal 8.9,請更新至Drupal 8.9.9(含) 如果您使用的是Drupal 8.8,請更新到Drupal 8.8.11(含) 如果您使用的是Drupal 7,請更新至Drupal 7.74(含) |
| 細節描述: | Drupal 近日發布更新以解決產品的安全性弱點,建議請管理者儘速評估更新!
Drupal核心無法正確清理上傳文件上的某些文件名,這可能導致文件被解釋為錯誤的副檔名,並被用作錯誤的MIME類型或對於某些託管配置被執行為PHP。 此外建議您審核所有以前上傳的文件,以檢查是否有惡意副檔名。專門查找包含多個副檔名的文件,例如或,副檔名中沒有下劃線(_)。請特別注意以下文件副檔名,即使後面有一個或多個其他副檔名,也應將其視為危險文件:phar,php,pl,py,cgi,asp,js,html,htm,phtml |
| 參考 資訊: |
Drupal US-CERT |