Проект: Drupal Core
Дата публикации: 19 декабря 2019
Риск безопасности: Умеренно критический. 14/25 AC:Basic A:Admin CI:Some II:All E:Theoretical TD:Default
Уязвимость: Множественные уязвимости

Описание

Функция file_save_upload() из ядра Drupal 8 не удаляла начальную точку (.) из названий имён, как это делал Drupal 7.

Пользователи, у которых есть права на загрузку файлов с любым расширением файла, в связке со сторонними модулями, могут иметь возможность загружать в файловую систему файлы на подобии .htaccess, что может позволит перекрыть доступы к файлам в соответствующих местах.

Теперь file_save_upload() удаляет начальную точку.

Решение

Обновиться до актуальных версий:

  • Если используете Drupal 8.7.x, обновитесь до Drupal 8.7.11.
  • Если используете Drupal 8.8.x, обновитесь до Drupal 8.8.1.

Принимали участие

Сообщение об ошибке:

Исправление ошибки:

Смотрите также

Ссылки

Помощь и обратная связь

Если вы обнаружили ошибку или хотите внести улучшения, и желаете внести изменения самостоятельно при помощи Pull Request
Если вы желаете предложить улучшение для этого документа

Обратиться за помощью

Если вы не нашли то что искали, воспользуйтесь поиском.

Если вам нужна помощь с чем-то конкретным, обратитесь к сообществу.