Alta
CVE-2020-13671: Arbitrary file upload — Drupal 7/8/9 sin parche
Categoría
Dependencias vulnerables
Confianza
probable
Observado
2026-05-01
OWASP
A06:2021 — Vulnerable and Outdated Components
Resumen
Stack Drupal 7 (version <8 EOL ene-2025) detectado. CVE-2020-13671 afecta esta version y permite el comportamiento descrito sin parche post-EOL.
Por qué importa
Permite subida de archivos con extensiones doble (ej. evil.phar.txt). Bypassea filtro y permite RCE si el server interpreta phar.
Cómo mitigar
- •Revisar la guía técnica correspondiente a la categoría y aplicar las recomendaciones del estándar OWASP relacionado.