Nhóm phát triển hệ thống quản trị nội dung Drupal đã đưa ra bản cập nhật bảo mật để xử lý lỗ hổng thực thi mã từ xa liên quan đến việc không làm sạch tên của các tệp tin được tải lên.
Lỗ hổng có số hiệu là CVE-2020-13671, được xếp vào mức độ nguy cấp theo hệ thống tính điểm lỗi bảo mật thông thường của Viện Tiêu chuẩn và Công nghệ quốc gia Mỹ (NIST).
Lỗ hổng có thể bị những kẻ tấn công khai thác bằng bằng cách tải các tệp tin có một số phần mềm mở rộng nhất định như (phar, php, pl, py, cgi, html, htm, phtml, js, and asp) lên máy chủ để thực thi mã từ xa.
Drupal cho biết: "Drupal Core (lõi nhân Drupal) không xử lý đúng cách trong việc làm sạch tên những tệp tin được tải lên. Điều này có thể dẫn đến các tệp tin được hiểu như một phần mở rộng không đúng và được gửi đi như một kiểu MIME (Multipurpose Internet Mail Extensions - một chuẩn Internet về định dạng cho thư điện tử) bị lỗi hoặc thực thi như một ngôn ngữ lập trình PHP (Personal Home Page) cho một số cấu hình lưu trữ nhất định".
Nhóm phát triển đã xử lý lỗi trong Drupal 7, 8 và 9 với việc phát hành các phiên bản 7.74, 8.8.11, 8.9.9 và 9.0.8.
Các chuyên gia đã báo cáo lỗ hổng tới nhóm bảo mật bao gồm: ufku; Mark Ferree; Frédéric G. Marand; Samuel Mortenson của nhóm bảo mật Drupal; Derek Wright.
Nhóm phát triển khuyến nghị người dùng kiểm tra các máy chủ của họ để tìm các tệp tin có nhiều phần mở rộng, chẳng hạn như filename.php.txt hoặc filename.html.gif.
Vào tháng 3, nhóm phát triển đã đưa ra các bản cập nhật bảo mật cho phiên bản 8.8.x và 8.7.x để xử lý hai lỗ hổng XSS gây ảnh hưởng tới thư viện CKEditor. Vào tháng 5, họ cũng đã xử lý lỗ hổng XSS và các lỗ hổng chuyển hướng mở. Sang tháng 6 họ lại phát hành các bản cập nhật bảo mật để xử lý nhiều lỗ hổng bảo mật, bao gồm một lỗ hổng "nguy cấp" là CVE-2020-13664 có thể bị kẻ tấn công lợi dụng để thực thi mã PHP tùy ý. Vào tháng 9, các nhà bảo trì của Drupal đã xử lý một số lỗ hổng gây lộ lọt thông tin và các lỗ hổng SXX trong hệ thống quản lý nội dung phổ biến (CMS).
