[第四十五期]网络安全预警通告

　　[第四十五期]网络安全预警通告

　　1、漏洞概述

　　Drupal是使用PHP语言编写的开源内容管理框架（CMF），它由内容管理系统（CMS）和PHP开发框架（Framework）共同构成。

　　Drupal项目发布安全公告，修复了Drupal 核心中的一个代码执行漏洞（CVE-2022-25277），该漏洞与Drupal中已修复的多个历史漏洞有关。在受影响的Drupal版本中，如果网站被配置为允许上传带有htaccess扩展名的文件，则这些文件的文件名将不会被正确清理，可以利用此漏洞绕过Drupal核心的默认.htaccess文件提供的保护，并在 Apache Web 服务器上远程执行代码。。

　　2、影响范围

　　受影响版本：

　　Drupal 9.4版本：< 9.4.3

　　Drupal 9.3版本：< 9.3.19