Устранена критическая уязвимость в CMS Drupal


В системе управления контентом Drupal обнаружена критическая уязвимость (CVE-2020-13671), которая давала возможность удалённо выполнить произвольный PHP код на сервере с определенной конфигурацией хостинга.

Уязвимость проявлялась при загрузке файлов с двойным расширением на сервер и некорректной их проверкой, что позволяло загрузить файл, к примеру, file-name.php.txt, который в определённых серверных конфигурациях при обращении выполнялся как PHP-код. Из опасных расширений, для которых неверно мог быть обработан MIME-тип, отмечены такие типы как phar, php, pl, py, cgi, asp, js, html, htm и phtml.

Этой уязвимости присвоен критический уровень опасности. Обнаруженная проблема была устранена в версиях Drupal 7.74, 8.9.9, 8.8.11 и 9.0.8.