PT-2020-4969 · Drupal+1 · Drupal Core+1
Derek Wright
+4
·
Publicado
2020-11-18
·
Atualizado
2025-03-14
·
CVE-2020-13671
CVSS v2.0
9.0
Alta
| Vetor | AV:N/AC:L/Au:S/C:C/I:C/A:C |
Nome do software vulnerável e versões afetadas
Versões do Drupal Core anteriores à 9.0.8
Versões do Drupal Core anteriores à 8.9.9
Versões do Drupal Core anteriores à 8.8.11
Versões do Drupal Core anteriores à 7.74
Descrição
O problema está relacionado à sanitização inadequada de certos nomes de arquivos em arquivos enviados, o que pode levar a que os arquivos sejam interpretados com extensão incorreta e servidos com o tipo MIME errado ou executados como PHP em determinadas configurações de hospedagem. Isso pode permitir que um invasor remoto execute código PHP arbitrário no servidor. O número estimado de dispositivos potencialmente afetados em todo o mundo não foi especificado.
Recomendações
Para versões do Drupal Core anteriores à 9.0.8, atualize para a versão 9.0.8 ou posterior.
Para versões do Drupal Core anteriores à 8.9.9, atualize para a versão 8.9.9 ou posterior.
Para versões do Drupal Core anteriores à 8.8.11, atualize para a versão 8.8.11 ou posterior.
Para versões do Drupal Core anteriores à 7.74, atualize para a versão 7.74 ou posterior.
Como solução temporária, considere restringir o upload de arquivos para minimizar o risco de exploração. Evite usar a funcionalidade de upload de arquivos vulnerável até que o problema seja resolvido.
Exploit
Correção
Unrestricted File Upload
Special Elements Injection
Encontrou algum problema na descrição? Tem algo a acrescentar? Fique à vontade para nos escrever 👾
Identificadores relacionados
Produtos afetados
Drupal Core
Ubuntu