Drupal arbitrary PHP code execution (CVE-2020-28948, CVE-2020-28949)
В CMS Drupal обнаружены множественные уязвимости, связанные с загрузкой и обработкой файлов с разрешением .tar
, .tar.gz
, .bz2
и .tlz
(CVE-2020-28948, CVE-2020-28949). Успешное использование этой уязвимости позволит удаленно выполнить произвольный код в контексте уязвимого приложения.
Чтобы это предотвратить, необходимо запретить пользователям загружать файлы с разрешением .tar
, .tar.gz
, .bz2
и .tlz
, а также обновить Drupal до последней версии:
- Если вы используете Drupal 9.0, обновитесь до Drupal 9.0.9;
- Если вы используете Drupal 8.9, обновитесь до Drupal 8.9.10;
- Если вы используете Drupal 8.8 или более раннюю версию, обновитесь до Drupal 8.8.12;
- Если вы используете Drupal 7, обновитесь до Drupal 7.75.