Drupal 远程代码执行漏洞CVE -2020-28948、CVE-2020-28949

　　通告信息

　　近日，Drupal官方发布了安全更新，修复了Drupal远程代码执行漏洞(CVE-2020-28948、CVE-2020-28949)。

　　Drupal框架使用了PEAR Archive_Tar作为依赖库在对tar包进行创建、提取等操作时，由于过滤不严，可能导致phar反序列化从而造成远程代码执行。

　　漏洞概述

　　Drupal是使用PHP语言的开源内容管理框架。11月25日Drupal官方发布安全更新，修复了Drupal 远程代码执行漏洞。Drupal使用了PEAR Archive_Tar作为依赖库，因为phar文件本质上是一种压缩文件，所以在处理，如.tar、.zip、.tlz等格式的压缩包时，由于过滤不严，可能导致存在phar反序列化漏洞，从而造成远程代码执行。

　　漏洞危害

　　攻击者可以通过构造恶意的phar压缩文件，上传到服务器，当Drupal在处理此文件时，造成phar反序列化漏洞，从而导致远程代码执行。

　　影响版本

　　漏洞影响的产品版本包括：

　　Drupal < 9.0.9

　　Drupal < 8.9.10

　　Drupal < 8.8.12

　　Drupal < 7.75

　　解决方案

　　建议广大用户及时更新Drupal版本：

　　https://www.drupal.org/sa-core-2020-013