Разработчики Drupal устранили ряд багов в 7 и 8 ветках CMS, включая две критические RCE-проблемы, допускающие удаленное исполнение произвольного кода. Уязвимостям были подвержены установки CMS вплоть до версий 7.60, 8.6.2 и 8.5.8.
Одна из критических проблем касалась модуля Contextual Links, который не справлялся с корректной валидацией запрашиваемых контекстных ссылок. Как было сказано выше, проблема допускает выполнение произвольного кода, но для эксплуатации бага атакующему потребуется аккаунт с разрешением «access contextual links», то есть с доступом к контекстным ссылкам.
Еще одна критическая уязвимость – это инъекция, связанная с работой функции DefaultMailSystem::mail(). Баг сопряжен с некорректной очисткой ряда переменных для shell-аргументов при отправке электронных писем.
Также были исправлены три менее серьезные проблемы, связанные с обходом доступа, open redirect’ами и анонимными open redirect’ами. Разработчики рекомендуют обновить Drupal как можно скорее.
