Инженеры Drupal выпустили срочные исправления для критических уязвимостей, которые могут допускать выполнение произвольного PHP-кода в некоторых версиях CMS. Проблема в том, что эксплоиты для этих проблем уже существуют, а обнаруживший баги исследователь уже обнародовал их на GitHub.
Согласно официальному сообщению Drupal, уязвимость была связана с двумя ошибками в библиотеке PEAR Archive_Tar, которые получили идентификаторы CVE-2020-28948 и CVE-2020-28949. RCE-баг может сработать, если CMS настроена таким образом, что обработка и загрузка файлов .tar, .tar.gz, .bz2 и .tlz была разрешена.
Эксплуатация бага включает в себя манипулирование именами файлов и может позволить хакеру выполнить произвольный PHP-код или перезаписать файлы, в том числе важные, к примеру, как /etc/passwd и /etc/shadow.
В этой связи Drupal рекомендует как можно скорее установить следующие обновления:
- пользователи Drupal 9.0 должны обновиться до Drupal 9.0.9;
- пользователи Drupal 8.9 должны обновиться до Drupal 8.9.10;
- пользователи Drupal 8.8 или более ранней версии должны обновиться до Drupal 8.8.12;
- пользователи Drupal 7 должны обновиться до Drupal 7.75.
Также в заявлении компании отмечается, что версии Drupal от 8 до 8.8.x являются устаревшими и не получат обновлений.
Если же установка патчей по каким-то причинам невозможна, администраторам сайтов рекомендуется временно запретить загрузку файлов .tar, .tar.gz, .bz2 и .tlz для недоверенных пользователей.