CVE-2022-25277是Drupal Core中的一个漏洞,允许攻击者上传包含恶意扩展名的文件,绕过Drupal核心的.htaccess保护,从而可能在Apache Web服务器上执行远程代码。此漏洞可能导致服务器完全受损。受影响的版本包括Drupal Core ≤9.3.9。该漏洞已在Drupal Core 9.3.19中修复。
Drupal Core 的 CVE-2022-25277 影响了文件上传过程中的文件名清理方式。虽然 Drupal 已经实施了防止上传具有危险扩展名(如 .htaccess)的文件以及删除文件名开头和结尾的点的一些措施,但这些保护措施没有正确协同工作。在允许 .htaccess 扩展名的配置中,文件名清理将失败,从而可能允许上传恶意服务器配置文件。这可能导致远程代码执行,从而危及网站的安全性。
如果 Drupal 网站配置为允许使用 .htaccess 扩展名上传文件,并且文件名清理功能无法正常工作,则攻击者可能会利用此漏洞。攻击者可能会上传一个恶意 .htaccess 文件,其中包含用于修改 Web 服务器配置的规则,从而启用任意代码执行或未经授权访问敏感资源的权限。利用的可能性取决于特定的网站配置以及其他漏洞的存在。
漏洞利用状态
EPSS
0.29% (53% 百分位)
CVSS 向量
解决此漏洞的方案是将 Drupal Core 更新到 9.3.19 或更高版本。此更新更正了文件名清理保护措施之间的不正确交互。为了最大限度地减少风险,务必尽快应用此更新。此外,请检查您网站的配置,以确保仅允许必要的扩展名,并对文件上传应用严格的安全策略。定期备份网站也是在发生事件时恢复的一种良好实践。
Actualice Drupal Core a la versión 9.3.19 o superior, o a la versión 9.4.3 o superior. Esta actualización corrige una vulnerabilidad que podría permitir la ejecución remota de código en servidores Apache si se permite la carga de archivos con la extensión .htaccess.
漏洞分析和关键警报直接发送到您的邮箱。
.htaccess 文件是 Apache Web 服务器用于控制特定目录内服务器行为的配置文件。可用于重定向流量、保护目录等。
如果您无法立即更新,请考虑限制用户上传文件,并监控服务器日志以查找可疑活动。
它仅影响允许使用 .htaccess 扩展名上传文件的网站。请检查您网站的配置以确定您是否面临风险。
您可以在 Drupal 网站上找到有关此漏洞的更多信息:[https://www.drupal.org/security/announce/9.3.19](https://www.drupal.org/security/announce/9.3.19)
KEV: 不表示此漏洞未在 Kernel Exploit Database (KEB) 中记录。
上传你的 composer.lock 文件,立即知道是否受影响。