2020 年 11 ⽉ 25 ⽇,Drupal 官⽅发布了关于 Drupal core 存在任意 PHP 代码执⾏漏洞的安全公告,对应两个 CVE 编号:CVE-2020-28948、CVE- 2020-28949,公告编号:SA-CORE-2020-013。
根据公告, Drupal core 使⽤的 PEAR Archive_Tar 库,在处理.tar、.tar.gz、.bz2、.tlz ⽂件类型时存在漏洞,如果将 Drupal 配置为允许这 些⽂件上传并处理它们,则可能触发漏洞,恶意攻击者成功利⽤该漏洞可以实现 任意 PHP 代码执⾏效果。建议使用该产品的各教育局与高校及时自查并将版本升级到最新版本或升级版本。