一、漏洞介绍

Drupal是Drupal社区的一套使用PHP语言开发的开源内容管理系统。

Drupal Core 存在安全漏洞，由于Drupal Core 未正确处理上传文件中的某些文件名，可能导致文件会被错误地解析为其他MIME类型，未授权的远程攻击者可通过上传特定文件名的恶意文件利用漏洞执行代码。

二、危害影响

成功利用该漏洞的远程攻击者，可获取目标系统或网站的管理权限，执行恶意代码。以下等版本均受此漏洞影响：

• Drupal < 7.7.4
• Drupal < 8.8.11
• Drupal < 8.9.9
• Drupal < 9.0.8

注：官方已经停止维护8.8.x之前的Drupal 8版本。

三、漏洞确认方法

相关用户可通过查看当前使用的Drupal版本来确定是否受该漏洞影响，登录后台后，依次点击“管理”-“日志”-“报告状态”，即可查看当前的应用版本：

相关用户可对Drupal目录下已经存在的文件进行排查，尤其注意如 filename.php.txt 或 filename.html.gif 这类包含多个扩展名的文件，扩展名中是否存在下划线 _ 。特别注意以下文件扩展名，即使后面跟着一个或多个其他扩展名，也应该被认为是危险文件，例如：phar、php、pl、py、cgi、asp、js、html、htm、phtml等。

四、修复建议

目前，Drupal官方已经发布了版本更新修复了该漏洞。建议用户及时确认Drupal Core产品版本，如受影响，请及时采取修补措施。漏洞修补措施如下：
Drupal 9.0系列用户，建议更新至 Drupal9.0.8 版本，链接为 https://www.drupal.org/project/drupal/releases/9.0.8。
Drupal 8.9系列用户，建议更新至 Drupal8.9.9 版本，链接为 https://www.drupal.org/project/drupal/releases/8.9.9。
Drupal 8.8系列用户，建议更新至 Drupal8.8.11 版本，链接为 https://www.drupal.org/project/drupal/releases/8.8.11。
Drupal 7系列用户，建议更新至 Drupal 7.74，链接为 https://www.drupal.org/project/drupal/releases/7.74。