В корректирующих выпусках системы управления контентом Drupal 8.3.4 и 7.56 (https://www.drupal.org) устранены три уязвимости (https://www.drupal.org/SA-CORE-2017-003). Одной из проблем (CVE-2017-6920 (https://security-tracker.debian.org/tracker/CVE-2017-6920)) присвоен наивысший уровень опасности - ошибка в обработчике сериализации объектов  в парсере PECL YAML может привести к удалённому выполнению кода на стороне сервера.

Вторая уязвимость (CVE-2017-6921 (https://security-tracker.debian.org/tracker/CVE-2017-6921)) присутствует в коде проверки REST-параметров, через которые осуществляется обработка файлов. На сайтах, на которых включен модуль rest (RESTful Web Services), активирован REST-ресурс file и разрешены запросы PATCH, атакующий может получить или зарегистрировать учётную запись пользователя с правами загрузки файлов и изменения ресурса file.

Третья уязвимость (CVE-2017-6922 (https://security-tracker.debian.org/tracker/CVE-2017-6922)) позволяет анонимным пользователям получить доступ к файлам, загруженным другими анонимными пользователями и не ассоциированными с определённым содержимым сайта.

URL: https://www.drupal.org/SA-CORE-2017-003
Новость: https://www.opennet.ru/opennews/art.shtml?num=46749

• Обновление Drupal 8.3.4 и 7.56 с устранением критической уяз...,Аноним, 14:46 , 23-Июн-17
• Обновление Drupal 8.3.4 и 7.56 с устранением критической уяз...,YetAnotherOnanym, 16:47 , 23-Июн-17

> Третья уязвимость (CVE-2017-6922) позволяет анонимным пользователям получить доступ к файлам, загруженным другими анонимными пользователями и не ассоциированными с определённым содержимым сайта.

Что нарушает анонимность анонимных пользователей со стороны других анонимных пользователей.

> позволяет анонимным пользователям получить доступ к файлам, загруженным другими анонимными пользователями

Вот так выпускник трёхнедельных курсов уеб-дизайна Вася наградил каждого заказчика анонимной файлопомойкой, даже не догадываясь об этом.