Проект: Drupal Core
Дата публикации: 28 сентября 2022
Риск безопасности: Критично 18∕25. AC:Basic/A:Admin/CI:All/II:All/E:Proof/TD:All
Уязвимость: Множественные уязвимости
¶Описание
Drupal использует стороннюю библиотеки Twig для шаблонизации и санитизации. Для Twig вышло обновление безопасности которое влияет и на Drupal. Разработчики Twig оценивают данную уязвимость как серьезную.
Код Drupal, расширяющий Twig, был обновлён, чтобы нивелировать обнаруженные уязвимости.
Доступны несколько вариантов для атаки на сайт если недоверенные пользователи могут использовать Twig. Уязвимость может быть использована для доступа к содержимому приватных файлов или прочих файлов на сервере, например настроек с подключением к БД.
Опасность уязвимости в Drupal невелируется тем что использование данных уязвимостей доступно только с определёнными административными правами доступа. Но также остаётся риск использования данных уязвимостей через сторонние модули.
Drupal Steward не покрывает данную проблему.
¶Решение
Обновиться до актуальных версий:
- Если используете Drupal 9.4, обновитесь до Drupal 9.4.7.
- Если используете Drupal 9.3, обновитесь до Drupal 9.3.22.
¶Ссылки
- SA-CORE-2022-016 (англ.), drupal.org, 28 сентября 2022
- Twig security release: Possibility to load a template outside a configured directory when using the filesystem loader (англ.), Symfony, 28 сентября 2022
