发布日期：2019-12-20
更新日期：2019-07-31

受影响系统：

Drupal Drupal 8.8.x<8.8.1
Drupal Drupal 8.7.x<8.7.11

不受影响系统：

Drupal Drupal 8.8.1
Drupal Drupal 8.7.11

描述：

---

Drupal是由德赖斯·布伊泰尔特创立的自由开源内容管理系统，用PHP语言写成。

Drupal 8中的file_save_upload()功能不会从文件名中去除前导和结尾处的（’.’），能够上传具有任何扩展名和贡献模块的用户，可以使用它来覆盖任意系统文件，例如.htaccess，以绕过安全性保护。

<*来源：vendor
  *>

建议：

---

厂商补丁：

Drupal
------
官方已为受影响产品提供了修复漏洞的最新版本。请相关用户尽快前往官网下载更新防范风险。

另，官方为部分漏洞也提供了缓解措施：

中危访问绕过漏洞
可以通过取消选中/admin/config/media/media-library 上“启用高级用户界面”复选框来缓解此漏洞。（此缓解措施在8.7.x中不适用）

中危拒绝服务漏洞
如果不需要，可以禁止对install.php的访问。

参考链接

Drupal 7.69 下载地址：

https://www.drupal.org/project/drupal/releases/7.69

Drupal 8.7.11下载地址：

https://www.drupal.org/project/drupal/releases/8.7.11

Drupal 8.8.1下载地址：

https://www.drupal.org/project/drupal/releases/8.8.1

浏览次数：1460
严重程度：0（网友投票）