Drupal任意代码执行漏洞(CVE-2021-32610)预警

一、漏洞情况

近日，Drupal官方发布安全公告，披露了Drupal第三方库存在任意代码执行漏洞，漏洞CVE编号：CVE-2021-32610。攻击者可利用该漏洞执行任意代码攻击。目前Drupal官方已发布新版本修复该漏洞，建议受影响用户及时升级到最新版本进行防护，并做好资产自查以及预防工作，以免遭受黑客攻击。

二、漏洞等级

高危

三、漏洞描述

Drupal是Drupal社区的一套使用PHP语言开发的开源内容管理系统。

该漏洞是由于第三方PEAR Archive_Tar库导致，当contrib或自定义代码使用该库来提取恶意的 tar 文件时(例如 .tar、.tar.gz、.bz2 或 .tlz)，从而触发该漏洞，攻击者可通过上传特制文件导致执行任意代码等攻击。

四、影响范围

Drupal 7.x < 7.82

Drupal 8.9.x < 8.9.17

Drupal 9.1.x < 9.1.11

Drupal 9.2.x < 9.2.2

五、安全建议

建议受影响用户及时升级至Drupal 9.2.2、9.1.11、8.9.17、7.82或更高版本。

下载链接：

https://www.drupal.org/project/drupal/releases/9.2.2

https://www.drupal.org/project/drupal/releases/9.1.11

https://www.drupal.org/project/drupal/releases/8.9.17

https://www.drupal.org/project/drupal/releases/7.82

六、参考链接

https://www.drupal.org/sa-core-2021-004

原文来源：网络安全威胁和漏洞信息共享平台