Перейти к основному содержанию

Критическая уязвимость Drupal Core — CVE-2022-25277

Drupal 9

Для ядра Drupal выпустили исправления критической уязвимости CVE-2022-25277 (SA-CORE-2022-014). Уязвимость получила 15 баллов из 25 возможных по шкале, принятой на Drupal. Возможно удалённое выполнение кода PHP.

Уязвимость появилась в результате многочисленных попыток усилить безопасность. Как говорится, улучшение работающего кода приводит к его ухудшению. Эксплуатация уязвимости возможна в том случае, когда на сайте разрешено загружать файлы с расширением .htaccess. Опасность грозит только проектам, работающим на веб-сервера Apache. Здесь я вздохнул с облегчением, мой проект не использует Apache. IIS и nginx не пострадали.

  • Drupal версии 9.4 следует обновить до 9.4.3.
  • Drupal версии 9.3 следует обновить до 9.3.19.
  • Drupal версии ниже 9.3 больше не поддерживаются, для них не выпускаются обновления.
  • Drupal 8 тоже больше не поддерживается, для него не выпускаются обновления.
  • Drupal 7 — не затронуло.

Одновременно с патчем исправлены и другие уязвимости:

  • CVE-2022-25275 (SA-CORE-2022-012), 13 баллов из 25 возможных. Раскрытие информации.
  • CVE-2022-25278 (SA-CORE-2022-013), 12 баллов из 25 возможных. Обход ограничений.
  • CVE-2022-25276 (SA-CORE-2022-015), 11 баллов из 25 возможных. Множественные уязвимости.

Так что владельцам веб-серверов, отличных от Apache, всё равно следует запланировать обновление.

Теги

 

Похожие материалы

Добавляем уведомления виджету комментариев "В контакте"

Есть такая замечательная штука, виджет комментариев "В контакте". Но у него есть небольшой минус — нет возможности "из коробки" получать уведомления о новых комментариях. Есть блок, выводящий все комментария, но он показывает только сообщения первого уровня, вложенные ответы не видно. Добавим уведомления на почту при поступлении нового комментария.

Теги