一、概要

近日，华为云关注到Drupal官方发布安全公告，披露Drupal存在一处严重级别的远程代码执行漏洞（CVE-2021-32610），该漏洞是由于第三方库pear Archive_Tar导致的，如果contrib或自定义代码使用该库来提取来自潜在不受信任来源的tar存档（例如 .tar、.tar.gz、.bz2 或 .tlz），可能会被恶意攻击者利用导致远程代码执行。

华为云提醒使用Drupal的用户及时安排自检并做好安全加固。

参考