Я сравнительно давно не следил за последними новостями по безопасности Друпала, но тут на "соседнем" форуме проскочило сообщение, что сайт на Друпале ломают по несколько раз в год, и я решил почитать, нет ли чего новенького. Оказалось – есть. В конце 2020 года обнаружены несколько критических уязвимостей: CVE-2020-13671, CVE-2020-28948 и CVE-2020-28949. Все эти уязвимости позволяют выполнять произвольный PHP-код, что не просто является дырой в безопасности, а угрожает полной потерей контроля над сайтом.
Первая уязвимость
Проявиться такая уязвимость, правда, может лишь при некорректной настройке сервера, допускающей запуск кода из таких файлов.вызвана некорректной проверкой двойных расширений при загрузке файлов на сервер, что позволяет загрузить файл вида filename.php.txt
Две других уязвимости обнаружены в PEAR-библиотеке архива и закрыты одним патчем. Их эксплуатация возможна при определённой конфигурации Друпала, если разрешена загрузка и обработка файлов архивов .tar, .tar.gz, .bz2, tlz.
Так что, уважаемые владельцы сайтов на CMS Drupal, не теряйте бдительности и вовремя обновляйтесь.