Проект: Drupal Core
Дата публикации: 19 декабря 2019
Риск безопасности: Умеренно критический. 14/25 AC:Basic A:Admin CI:Some II:All E:Theoretical TD:Default
Уязвимость: Множественные уязвимости
¶Описание
Функция file_save_upload() из ядра Drupal 8 не удаляла начальную точку (.) из названий имён, как это делал Drupal 7.
Пользователи, у которых есть права на загрузку файлов с любым расширением файла, в связке со сторонними модулями, могут иметь возможность загружать в файловую систему файлы на подобии .htaccess, что может позволит перекрыть доступы к файлам в соответствующих местах.
Теперь file_save_upload() удаляет начальную точку.
¶Решение
Обновиться до актуальных версий:
- Если используете Drupal 8.7.x, обновитесь до Drupal 8.7.11.
- Если используете Drupal 8.8.x, обновитесь до Drupal 8.8.1.
¶Принимали участие
Сообщение об ошибке:
Исправление ошибки:
- Lee Rowlands из Drupal Security Team
- Greg Knaddison из Drupal Security Team
- Michael Hess из Drupal Security Team
- Kim Pepper
- Alex Pott из Drupal Security Team
- Derek Wright
- Jess из Drupal Security Team
- David Rothstein из Drupal Security Team
¶Смотрите также
¶Ссылки
- SA-CORE-2019-010 (англ.), drupal.org, 19 декабря 2019
