Для ядра Drupal выпустили исправления критической уязвимости CVE-2022-25277 (SA-CORE-2022-014). Уязвимость получила 15 баллов из 25 возможных по шкале, принятой на Drupal. Возможно удалённое выполнение кода PHP.
Уязвимость появилась в результате многочисленных попыток усилить безопасность. Как говорится, улучшение работающего кода приводит к его ухудшению. Эксплуатация уязвимости возможна в том случае, когда на сайте разрешено загружать файлы с расширением .htaccess. Опасность грозит только проектам, работающим на веб-сервера Apache. Здесь я вздохнул с облегчением, мой проект не использует Apache. IIS и nginx не пострадали.
- Drupal версии 9.4 следует обновить до 9.4.3.
- Drupal версии 9.3 следует обновить до 9.3.19.
- Drupal версии ниже 9.3 больше не поддерживаются, для них не выпускаются обновления.
- Drupal 8 тоже больше не поддерживается, для него не выпускаются обновления.
- Drupal 7 — не затронуло.
Одновременно с патчем исправлены и другие уязвимости:
- CVE-2022-25275 (SA-CORE-2022-012), 13 баллов из 25 возможных. Раскрытие информации.
- CVE-2022-25278 (SA-CORE-2022-013), 12 баллов из 25 возможных. Обход ограничений.
- CVE-2022-25276 (SA-CORE-2022-015), 11 баллов из 25 возможных. Множественные уязвимости.
Так что владельцам веб-серверов, отличных от Apache, всё равно следует запланировать обновление.
