2020年11月18日，Drupal官方发布了关于Drupal core存在远程代码执行漏洞的安全公告，漏洞对应CVE编号：CVE-2020-13671，相关链接：https://www.drupal.org/sa-core-2020-012

根据公告，在Drupal Core 7、8.8、8.9、9.0各分支版本中，由于对上传文件的文件名没有进行严谨的清理，导致未授权的远程攻击者可通过上传特定文件扩展名的恶意文件，恶意攻击者成功利用该漏洞能实现远程代码执行效果，建议使用Drupal的用户尽快更新到漏洞修复的版本。

Drupal历史安全公告列表：https://www.drupal.org/security

影响范围

CVE-2020-13671 远程代码执行漏洞影响以下Drupal Core版本：

Drupal 9.0分支版本，建议更新到Drupal 9.0.8以上版本

Drupal 8.9分支版本，建议更新到Drupal 8.9.9以上版本

Drupal 8.8分支版本，建议更新到Drupal 8.8.11以上版本

Drupal 7分支版本，建议更新到Drupal 7.74以上版本

注意：8.8.x之前的Drupal 8分支版本已经维护，已不提供安全更新。

官方下载地址：

Drupal 9.0.8 下载：https://www.drupal.org/project/drupal/releases/9.0.8

Drupal 8.9.9 下载：https://www.drupal.org/project/drupal/releases/8.9.9

Drupal 8.8.11 下载：https://www.drupal.org/project/drupal/releases/8.8.11

Drupal 7.74 下载：https://www.drupal.org/project/drupal/releases/7.74

漏洞描述

根据分析，Drupal core未正确清理上传文件的某些恶意文件名，这可能导致该上传文件被解释为错误的扩展名，并被用作错误的MIME类型，这将导致在某些场景下上传文件内容可以被解析为PHP代码执行，恶意攻击者成功利用该漏洞能在目标站点上写入webshell，并获取到网站或系统管理权限。

缓解措施

网站存在上传功能的安全建议，应该限制以下扩展名的文件上传：phar、php、pl、py、cgi、asp、js、html、htm、phtml。