Drupal 개발팀은 언ㅂ로드된 파일의 이름을 적절하게 처리하지 못해 발생하는 원격 코드 실행 취약점을 수정하기 위한 보안 업데이트를 발표했다.

CVE-2020-13671로 추적되는 이 취약점은 NIST Common Misuse Scoring System에 따라 위험으로 분류되었다. 이 취약점은 특정 유형의 확장자(phar, php, pl, py, cgi, html, phtml, js 및 asp)를 가진 파일을 서버에 업로드하여 원격 코드 실행을 달성함으로써 공격자가 이를 악용할 수 있다.

Drupal 측은 “업로드된 파일의 특정 파일명을 제대로 삭제하지 않아 파일이 잘못된 확장자로 해석되고 잘못된 MIME 유형으로 제공되거나 특정 호스팅 구성에 대해 PHP로 실행될 수 있다”라고 밝혔다.

[출처 : SecurityAffairs / 11.19.]