近日，我司监测到Drupal发布安全公告，修复了一个存在于Drupal中的代码执行漏洞。如果网站被配置为允许上传带有htaccess扩展名的文件，则这些文件的文件名将不会被正确清理，可以利用此漏洞绕过Drupal核心的默认.htaccess文件提供的保护，并在 Apache Web服务器上远程执行代码。但这需要管理员显式配置文件字段以允许htaccess作为扩展名（受限权限）或允许其它不安全配置。

Drupal是使用PHP语言编写的开源内容管理框架（CMF），它由内容管理系统（CMS）和PHP开发框架（Framework）共同构成，在GPL2.0及更新协议下发布。连续多年荣获全球最佳CMS大奖，是基于PHP语言最著名的WEB应用程序。

影响版本:

• Drupal < 9.3.19
• Drupal < 9.4.3

安全版本:

• Drupal >= 9.3.19
• Drupal >= 9.4.3

修复建议：

官方已发布安全版本，请及时下载更新，下载地址：

https://www.drupal.org/project/drupal/releases/9.4.3

https://www.drupal.org/project/drupal/releases/9.3.19