Drupal исправил два критических отдаленных слабых места выполнения кода, которые позволят нападавшим эксплуатировать установки Drupal CMS с версиями до 7,60, 8.6.2, и 8.5.8.

Неисправленные версии системы управления контентом (CMS) открытого источника Drupal уязвимы для удаленной эксплуатации, которая могла привести к удаленному выполнению кода.

Учитывая достаточные привилегии, связанные с пользователем, что инсталляционные пробеги Drupal под, это могло позволить подлецам создавать новые счета с полными пользовательскими правами, а также представление, изменение, удаляют данные по поставившей под угрозу цели.

Поэтому поставившие под угрозу серверы, где Drupal запущен, используя пользователя с ограниченными правами, будут намного менее затронутыми, чем те, куда Drupal работает под счетом администратора.

Отдаленная уязвимость выполнения кода существует в дефолте почтовая система Drupal из-за неподходящей санитизации для аргументов раковины, которые могли привести к полностью поставившему под угрозу веб-сайту.

Несколько отдаленных слабых мест выполнения кода позволяют нападавшим ставить под угрозу версии Drupal до 7,60, 8.6.2, и 8.5.8

Первая критическая уязвимость проживала в DefaultMailSystem Друпэла:: почта () отправка по почте компонента и это приводит к RCE, когда посланные электронные письма содержат переменные, которые не были санированы для аргументов раковины.

Второй критический вопрос безопасности, исправленный Drupal, присутствовал в Контекстном модуле Связей, который не достаточно утверждал требуемые контекстные связи.

«Эта уязвимость смягчена тем, что у нападавшего должна быть роль с разрешения «доступ контекстные связи», согласно ЯДРУ Drupal's SA 2018 006 консультативной безопасности.

Drupal также исправил три других ошибки безопасности, которые, возможно, привели к обходу доступа, открытому перенаправлению и анонимным открытым условиям перенаправления.

Чтобы смягчить слабые места RCE, администраторам веб-сайта рекомендуют модернизировать их Drupal 7 или 8 основных установок к 7,60, если они идут 7.x отделение к Drupal 8.6.2, если они управляют Drupal 8.6.x, и в Drupal 8.5.8 для администраторов, которые бегут 8.5.x или ранее.