Drupal内容管理系统（CMS）背后的团队本周发布了安全更新，修补了一个很容易被利用的严重漏洞，并授予攻击者对易受攻击站点的完全控制。

Drupal是继WordPress、Shopify和Joomla之后，互联网上第四大使用量的CMS，该漏洞评级为“严重，建议网站所有者尽快修补。

追踪到CVE-2020-13671，该漏洞的利用非常简单，而且依赖于好的ol的“双扩展”技巧。

攻击者可以向恶意文件添加第二个扩展名，并将其上载到Drupal上站点通过打开上传字段，并将恶意文件执行。

例如，一个恶意文件，如恶意软件.php可以重命名为恶意软件.php.txt。当上传到Drupal站点时，文件将被分类为文本文件而不是PHP文件，但Drupal最终会在尝试读取文本文件时执行恶意PHP代码。

Drupal开发人员会敦促站点管理员检查最近上载的文件

通常，会检测到具有两个扩展名的文件，但在a周三发布的安全公告中，Drupal devs表示，漏洞存在于Drupal CMS没有清理“某些”文件名的事实上，Drupal开发人员说，这“可能导致文件被解释为不正确的扩展名，并被用作错误的MIME类型，或者在某些托管配置中被作为PHP执行。”

Drupal 7、8的安全更新已经发布，和9个版本，以纠正文件上载清理过程。

但Drupal团队还敦促站点管理员检查最近上载的带有两个扩展名的文件；以防漏洞在修补程序之前被攻击者发现和利用。

“请特别注意以下文件扩展名，即使后面有一个或多个附加扩展，也应该被认为是危险的：

• phar
• php
• pl
• py
• cgi
• asp
• js
• html
• htm
• phtml
• “此列表并不详尽，因此根据具体情况评估其他非通用扩展的安全问题，德鲁帕说：“德鲁帕在德鲁普身上发现了如此令人惊讶的虫子。双扩展名技巧是本书中最古老的技巧之一，也是CMS产品在处理上载字段时验证的主要攻击向量之一。

  该问题也是Windows用户的一个主要问题，恶意软件作者通常会分发带有两个扩展名的文件，例如文件.png.exe.

  因为Windows隐藏最后一个文件扩展名默认情况下，EXE扩展名是隐藏的，而只显示第一个扩展名，欺骗用户相信他们正在打开一个图像，但事实上，实际上正在运行一个最终安装恶意软件的可执行文件。

  通常安装勒索软件的恶意软件，您需要立即删除

  Facebook Messenger的漏洞可以让黑客通过注册来监视用户

  ，您同意
  2023-03-22 10:04:23