Drupal发布安全更新，修复了多个安全漏洞，包括一个编号为CVE-2020-13664的严重漏洞，攻击者可利用该漏洞执行任意PHP代码。

CVE-2020-13664影响Drupal 8版本和9版本，但是专家指出，它只能在特定情况下利用，并且最有可能影响Windows服务器。

Drupal在安全公告中写道，“Drupal 8和9在特定情况下存在一个远程代码执行漏洞。”

“攻击者可以诱使管理员访问恶意站点，从而在文件系统上创建一个特殊命名的目录。借助该目录，攻击者可以尝试利用该远程代码执行漏洞。Windows服务器最有可能受到影响。”

Drupal还修复了另一个严重的跨站请求伪造漏洞（CVE-2020-13663），该漏洞影响Drupal7版本，8版本和9版本。

Drupal在安全公告中表示，“Drupal core Form API未能正确处理来自跨站请求的特定表单输入，导致其他漏洞。”

该开发团队还修复了一个严重等级较低的访问绕过漏洞（CVE-2020-13665），该漏洞影响Drupal 8版本和9版本。

厂商在该漏洞的安全公告中写道，“JSON:APIPATCH请求可能绕过对某些字段的验证。默认情况下，JSON:API以只读模式运行，这造成攻击者可能利用该漏洞。只有将jsonapi.settings 配置下的read_only设置成FALSE的站点才是脆弱的。”

本文源自Security Affairs；转载请注明出处。