← volver
CVE-2020-13671

CVE-2020-13671

CVSS 8.8 HIGHEPSS 4.3%● KEVCWE-434
En resumen

Drupal no limpia adecuadamente los nombres de archivos cuando los usuarios suben archivos, lo que puede engañar al servidor para ejecutar archivos como código PHP o interpretarlos incorrectamente. Esto permite que atacantes ejecuten código malicioso en el sitio.

Detalle técnico

CWE-434: Restricción Inadecuada de Capas de IU o Marcos Renderizados. La sanitización insuficiente de nombres de archivo en la gestión de carga de archivos de Drupal permite que atacantes eludan validaciones de tipo MIME mediante nombres de archivo especialmente diseñados, lo que resulta en ejecución arbitraria de código PHP en configuraciones de alojamiento susceptibles. La vulnerabilidad afecta versiones de Drupal anteriores a 9.0.8, 8.9.9, 8.8.11 y 7.74.

Resumen generado y traducido por IA a partir de la descripción oficial.
Drupal core does not properly sanitize certain filenames on uploaded files, which can lead to files being interpreted as the incorrect extension and served as the wrong MIME type or executed as PHP for certain hosting configurations. This issue affects: Drupal Drupal Core 9.0 versions prior to 9.0.8, 8.9 versions prior to 8.9.9, 8.8 versions prior to 8.8.11, and 7 versions prior to 7.74.
CVSS:3.1/AV:N/AC:L/PR:L/UI:N/S:U/C:H/I:H/A:H
Productos afectados
Drupal · Drupal Core

¿Quieres saber si tu infraestructura está expuesta a esto?

Hablar con TrueHacking →
Referencias
https://lists.fedoraproject.org/archives/list/package-announce%40lists.fedoraproject.org/message/5KSFM672XW3X6BR7TVKRD63SLZGKK437/https://lists.fedoraproject.org/archives/list/package-announce%40lists.fedoraproject.org/message/KWM4CTMEGAC4I2CHYNJVSROY4CVXVEUT/https://www.cisa.gov/known-exploited-vulnerabilities-catalog?field_cve=CVE-2020-13671https://www.drupal.org/sa-core-2020-012