Обновление Drupal 8.3.4 и 7.56 с устранением критической уязвимости

В корректирующих выпусках системы управления контентом Drupal 8.3.4 и 7.56 устранены три уязвимости. Одной из проблем (CVE-2017–6920) присвоен наивысший уровень опасности — ошибка в обработчике сериализации объектов в парсере PECL YAML может привести к удалённому выполнению кода на стороне сервера.

Вторая уязвимость (CVE-2017–6921) присутствует в коде проверки REST-параметров, через которые осуществляется обработка файлов. На сайтах, на которых включен модуль rest (RESTful Web Services), активирован REST-ресурс file и разрешены запросы PATCH, атакующий может получить или зарегистрировать учётную запись пользователя с правами загрузки файлов и изменения ресурса file.

Третья уязвимость (CVE-2017–6922) позволяет анонимным пользователям получить доступ к файлам, загруженным другими анонимными пользователями и не ассоциированными с определённым содержимым сайта.

© OpenNet