根據其自我報告的版本，遠端 Web 伺服器上執行的 Drupal 執行個體是 7.74 之前的 7.x 版、8.8.11 之前的 8.x 版、8.9.9 之前的 8.9.x 版或 9.0.8 之前的 9.0.x 版。因此，該作業系統受到其檔案上傳功能中遠端程式碼執行弱點影響，這是未能清理檔案名稱所致。經驗證的遠端攻擊者可利用此弱點，在特定主機組態下執行任意 PHP 程式碼。

請注意，Nessus 並未測試此問題，而是僅依據應用程式自我報告的版本號碼。

偵測

Drupal 7.x < 7.74 / 8.x < 8.8.11 / 8.9.x < 8.9.9 / 9.0.x < 9.0.8 RCE (SA-CORE-2020-012)

high Nessus Plugin ID 143126

版本 1.7