Разработчики Drupal представили версии 7.56 и 8.3.4, в которых были устранены несколько уязвимостей, в том числе баги, используемые спамерами.

Одной из главных исправленных проблем стала уязвимость CVE-2017-6922. Баг заключался в том, что файлы, загруженные анонимным пользователем, были доступны не только ему самому, но и всем анонимным пользователям в целом. Разумеется, проблеме были подвержены лишь те сайты, которые разрешали анонимную загрузку файлов.

С октября 2016 года разработчикам Drupal было известно, что эту уязвимость эксплуатируют злоумышленники. Тогда компания предупреждала, что преступники используют неверно сконфигурированные установки Drupal для хранения вредоносных файлов и переадресуют пользователей из поисковых машин к этим файлам. Свежее обновление Drupal 7 и 8 защищает сайты от подобных атак.

В Drupal 8.3.4 также была устранена критическая уязвимость CVE-2017-6920, связанная с тем, как парсер PECL YAML обрабатывает небезопасные объекты. Эксплуатация бага позволяла осуществить удаленное выполнение произвольного кода. Был исправлен и еще один менее критический баг, CVE-2017-6921, связанный с некорректной валидацией полей.



Оставить мнение