Дата релиза: 16 сентября 2020
Этот выпуск исправляет уязвимости безопасности. Настоятельно рекомендуется обновить сайты сразу после прочтения примечаний ниже и объявления о безопасности.
Исправлены следующие уязвимости:
- Drupal Core — Умеренно критическое — Межсайтовый скриптинг — SA-CORE-2020-007
- Drupal Core — Умеренно критическое — Обход доступа — SA-CORE-2020-008
- Drupal Core — Критическое — Межсайтовый скриптинг — SA-CORE-2020-009
- Drupal Core — Умеренно критическое — Межсайтовый скриптинг — SA-CORE-2020-010
- Drupal Core — Умеренно критическое — Раскрытие информации — SA-CORE-2020-011
¶Важная информация об обновлении
- SA-CORE-2020-007 Если вы отправляете JSONP запросы при помощи Drupal AJAX API, вам необходимо добавить новую опцию. Если вы используете jQuery AJAX для отправки запросов и вам не нужно отправлять JSONP, отключите данную опцию.
- SA-CORE-2020-008 Если вы используете модуль Workspaces, вам необходимо сбросить сессии для пользователям с доступом к рабочим областям.
-
SA-CORE-2020-009 Если вы переопределяете
\Drupal\Core\Form\FormBuilder::renderPlaceholderFormAction
и/или\Drupal\Core\Form\FormBuilder::buildFormAction
, вам необходимо убедиться что вы сантизируете URL.
¶Ссылки
- Drupal 8.8.10 (англ.), drupal.org, 16 сентября 2020