https://www.opennet.ru/openforum/vsluhforumID3/111566.html В корректирующих выпусках системы управления контентом Drupal 8.3.4 и 7.56 (https://www.drupal.org) устранены три уязвимости (https://www.drupal.org/SA-CORE-2017-003). Одной из проблем (CVE-2017-6920 (https://security-tracker.debian.org/tracker/CVE-2017-6920)) присвоен наивысший уровень опасности - ошибка в обработчике сериализации объектов в парсере PECL YAML может привести к удалённому выполнению кода на стороне сервера.<br><br><br>Вторая уязвимость (CVE-2017-6921 (https://security-tracker.debian.org/tracker/CVE-2017-6921)) присутствует в коде проверки REST-параметров, через которые осуществляется обработка файлов. На сайтах, на которых включен модуль rest (RESTful Web Services), активирован REST-ресурс file и разрешены запросы PATCH, атакующий может получить или зарегистрировать учётную запись пользователя с правами загрузки файлов и изменения ресурса file. <br><br><br>Третья уязвимость (CVE-2017-6922 (https://security-tracker.debian.org/tracker/CVE-2017-6922)) позволяет анонимным пользователям получить доступ к файлам https://www.opennet.ru/openforum/vsluhforumID3/111566.html#4 Fri, 23 Jun 2017 13:47:45 GMT &gt; позволяет анонимным пользователям получить доступ к файлам, загруженным другими анонимными пользователями<br><br>Вот так выпускник трёхнедельных курсов уеб-дизайна Вася наградил каждого заказчика анонимной файлопомойкой, даже не догадываясь об этом.<br> https://www.opennet.ru/openforum/vsluhforumID3/111566.html#3 Fri, 23 Jun 2017 11:46:53 GMT &gt; Третья уязвимость (CVE-2017-6922) позволяет анонимным пользователям получить доступ к файлам, загруженным другими анонимными пользователями и не ассоциированными с определённым содержимым сайта.<br><br>Что нарушает анонимность анонимных пользователей со стороны других анонимных пользователей.<br>