Снова паника в селе. В каналах по Информационной Безопасности пишут про новую уязвимость, затрагивающую шаблонизатор Twig в целом и движок CMS Drupal в частности. Уязвимы версии Drupal 8 и 9. Версия Drupal 7 не затронута. Для Drupal 8 — обновляйтесь до девятки.
Уязвимость CVE-2022-39261 (7.5 баллов по CVSS), выход за пределы каталога. Уязвимость исправлена в Twig 1.44.7, 2.15.3 и 3.4.3. И в Drupal 9.3.22 или 9.4.7.
Если кто-то предоставляет доступ к Drupal посторонним, то злоумышленник сможет получить несанкционированный доступ к конфиденциальным файлам, содержимому других файлам на сервере и ключам к базе данных. А если сервер ваш собственный и доступ к шаблонам имеете только вы, то можно продолжать попивать мохито.
Потом обновлюсь...
