В популярной CMS Drupal обнаружена критическая уязвимость
Обновление безопасности, исправляющее критическую уязвимость системы управления содержимым веб-сайта (CMS), выпустила команда разработчиков Drupal, 20 ноября сообщает американский портал новостей об информационных технологиях ZDNet.
Уязвимости присвоены код CVE-2020-13671 и рейтинг «критическая». Она позволяет злоумышленнику исполнять на сервере произвольный программный код на интерпретируемых языках программирования и крайне проста в применении.
Эксплуатация уязвимости завязана на загрузке файлов на сервер. Причем уязвим не какой-либо модуль расширения, а ядро CMS.
Злоумышленник может загрузить файл с двойным расширением посредством CMS. Например, malware.php.txt. Он пройдет проверку функции загрузки файлов, как безопасный текстовый файл, но программный код из него будет исполнен чуть позже, как сценарий на языке PHP.
Выполнен программный код будет не в любом случае, а лишь при некоторых настройках веб-сервера. Известно, что стоит опасаться файлов с первым из расширений: phar, php, pl, py, cgi, asp, js, htm, html, phtml. Разработчики обращают внимание, что этот список далеко не полон.
Исправление выпущено для основных версий Drupal 7, 8 и 9. Команда разработки CMS настоятельно рекомендовала всем администратором сайтов на базе Drupal немедленно установить обновление.
Также команда Drupal обращает внимание, что об уязвимости стало известно раньше, чем ее поправили. Ее уже использовали для взлома веб-сайтов. Поэтому стоит провести проверку на наличие потенциально опасных загруженных файлов.