Проект: Drupal Core
Дата публикации: 17 июня 2020
Риск безопасности: Критическое. 17/25 AC:Complex A:None CI:All II:Some E:Theoretical TD:Uncommon
Уязвимость: Произвольное выполнение PHP кода.

Описание

Drupal 8 и Drupal 9 позволяют выполнять удалённый код при определенных условиях.

Атакующая сторона должна обмануть администратора сайта и сделать так, чтобы он попал на вредоносный сайт, которая создаст директорую в файловой системе. При наличии данной директории, атакующий может предпринять попытку удалённого выполнения кода.

Скорее всего, пострадают сервера на Windows.

Решение

Обновиться до актуальных версий:

  • Если используете Drupal 8.8.x, обновитесь до Drupal 8.8.8.
  • Если используете Drupal 8.9.x, обновитесь до Drupal 8.9.1.
  • Если используете Drupal 9.0.x, обновитесь до Drupal 9.0.1.

Ссылки

Помощь и обратная связь

Если вы обнаружили ошибку или хотите внести улучшения, и желаете внести изменения самостоятельно при помощи Pull Request
Если вы желаете предложить улучшение для этого документа

Обратиться за помощью

Если вы не нашли то что искали, воспользуйтесь поиском.

Если вам нужна помощь с чем-то конкретным, обратитесь к сообществу.