SA-CORE-2022-012

Содержание
Редактировать эту страницу

Проект: Drupal Core
Дата публикации: 20 июля 2022
Риск безопасности: Умеренно критично 13∕25. AC:None/A:None/CI:Some/II:None/E:Theoretical/TD:Uncommon
Уязвимость: Раскрытие информации

Описание

В некоторых ситуациях модуль Image может некорректно проверять доступ к файлам изображений, для которых генерируются стили изображений и хранимых не в стандартной публичной директории.

Проверка доступа к непубличным файлам производится только если он хранится в приватной файловой системе. Тем не менее некоторые сторонние модули предоставляют дополнительные файловые системы и схемы, которые могут приводить к уязвимостям.

Эта уязвимость смягчается тем, что она применяется только если значение конфигурации $config['image.settings']['allow_insecure_derivatives'] установлено в TRUE. Рекомендуемое значение по умолчанию - FALSE, и Drupal ядро не предоставляет возможности изменять это значение при помощи административного интерфейса.

Drupal Steward не покрывает данную проблему.

Решение

Обновиться до актуальных версий:

  • Если используете Drupal 9.4, обновитесь до Drupal 9.4.3.
  • Если используете Drupal 9.3, обновитесь до Drupal 9.3.19.

Ссылки

🌱 Помогите нам сделать документацию лучше!

Вся документация Druki с отрытым исходным кодом. Нашли ошибку или неточность? Создайте pull request.

Редактировать текущий документ Обсудить улучшение

Или узнайте как контрибутить.

🤔 По-прежнему нужна помощь?

Не нашли ответа на свой вопрос? Попросите помощи у сообщества!

Задайте вопрос на GitHub Смотрите другие ресурсы сообщества
Участники
Содержание