CVE-2020-13671
CVE-2020-13671
Em resumo
O Drupal não limpa adequadamente os nomes de arquivos enviados pelos usuários, o que pode enganar o servidor para executar arquivos como código PHP ou interpretá-los incorretamente. Isso permite que invasores executem código malicioso no site.
Detalhe técnico
CWE-434: Restrição Inadequada de Camadas ou Frames da IU Renderizada. Sanitização insuficiente de nomes de arquivo no tratamento de upload de arquivos do Drupal permite que atacantes contornem validações de tipo MIME através de nomes de arquivo especialmente preparados, levando à execução arbitrária de código PHP em configurações de hospedagem suscetíveis. A vulnerabilidade afeta versões do Drupal anteriores a 9.0.8, 8.9.9, 8.8.11 e 7.74.
Resumo gerado e traduzido por IA a partir da descrição oficial.
Drupal core does not properly sanitize certain filenames on uploaded files, which can lead to files being interpreted as the incorrect extension and served as the wrong MIME type or executed as PHP for certain hosting configurations. This issue affects: Drupal Drupal Core 9.0 versions prior to 9.0.8, 8.9 versions prior to 8.9.9, 8.8 versions prior to 8.8.11, and 7 versions prior to 7.74.
CVSS:3.1/AV:N/AC:L/PR:L/UI:N/S:U/C:H/I:H/A:H
Produtos afetados
Drupal · Drupal CoreQuer saber se a sua infraestrutura está exposta a isto?
Falar com a TrueHacking →Referências
https://lists.fedoraproject.org/archives/list/package-announce%40lists.fedoraproject.org/message/5KSFM672XW3X6BR7TVKRD63SLZGKK437/https://lists.fedoraproject.org/archives/list/package-announce%40lists.fedoraproject.org/message/KWM4CTMEGAC4I2CHYNJVSROY4CVXVEUT/https://www.cisa.gov/known-exploited-vulnerabilities-catalog?field_cve=CVE-2020-13671https://www.drupal.org/sa-core-2020-012