В Drupal исправлена критическая уязвимость

В ядре популярной системы управления контентом Drupal обнаружена опасная уязвимость (CVE-2019-6340), позволяющая удаленно выполнить код. Проблема существует в связи с отсутствием проверки данных в некоторых типах полей, что может предоставить атакующему возможность выполнить произвольный PHP-код.

Эксплуатация CVE-2019-6340 возможна при условиях: а) RESTful Web Services API включен и разрешает отправку PATCH или POST-запросов, б) на сайте включен другой сервисный модуль (например, JSON:API в Drupal 8 либо RESTful Web Services или Services в Drupal 7).

Проблема исправлена в версиях Drupal 8.6.10 и 8.5.11. Как отмечается, в настоящее время обновление модуля Services в Drupal 7 не требуется, однако разработчики рекомендуют установить другие обновления, связанные с данной уязвимостью, если модуль используется.

В качестве временного решения проблемы команда Drupal советует отключить все модули для работы с web-сервисами или запретить отправку PUT/PATCH/POST–запросов к сервисным ресурсам.

Пользователям рекомендуется установить обновления как можно скорее, учитывая, что злоумышленники нередко берут на вооружение опасные уязвимости в Drupal. К примеру, в прошлом году киберпреступники взломали значительное количество сайтов на Drupal с помощью уязвимостей Drupalgeddon2 и Drupalgeddon3 и использовали их для распространения вредоносного ПО, майнеров криптовалюты или в мошеннических схемах.