Исходное сообщение
"Критическая уязвимость в Drupal" Отправлено opennews, 28-Мрт-18 23:53
В системе управления контентом Drupal выявлена (https://www.drupal.org/sa-core-2018-002) критическая уязвимость (https://groups.drupal.org/security/faq-2018-002) (CVE-2018-7600 (https://security-tracker.debian.org/tracker/CVE-2018-7600)), которую можно использовать для удалённого выполнения кода на сервере через отправку специально оформленного запроса без аутентификации. Проблема достаточно проста в эксплуатации и затрагивает ветки Drupal 8, 7 и 6. Всем пользователям рекомендуется срочно установить обновления  Drupal 8.5.1, 7.58, 8.3.9, 8.4.6 или использовать патч (https://cgit.drupalcode.org/drupal/rawdiff/?h=8.5.x&id=5ac87...). Для эксплуатации уязвимости достаточно (https://twitter.com/codeincarnate/status/979080318966730753) передать параметр запроса или Cookie, начинающийся с символа "#", который будет обработан как спецключ для вызова произвольного PHP-обработчика через Drupal Form API (https://api.drupal.org/api/drupal/developer%21topics�...). URL: https://www.drupal.org/sa-core-2018-002 Новость: https://www.opennet.ru/opennews/art.shtml?num=48348