В системе управления контентом Drupal выявлена критическая уязвимость (CVE-2019-6340), позволяющая удалённо выполнить произвольный PHP код на сервере. Уязвимости присвоен наивысший уровень опасности - "Highly critical" (20∕25). Проблема устранена в выпусках Drupal 8.5.11 и 8.6.10.
Уязвимость вызвана отсутствием должной чистки некоторых типов полей, передаваемых не через обычные формы ввода, а через API для взаимодействия с web-сервисами. Проблема проявляется в Drupal 8 при разрешении методов PATCH или POST и активности встроенного модуля RESTful Web Services (rest) или любых внешних модулей с реализацией web-сервисов, таких как JSON:API в Drupal 8 или Services и RESTful Web Services в Drupal 7. В качестве обходного пути защиты можно отключить все модули с реализацией API для работы web-сервисов или запретить в настройках обработку запросов к ресурсам web-сервисов с использованием HTTP-методов PUT, PATCH и POST.
Помимо входящего в базовый состав API RESTful Web Services выделено 8 проблемных внешних модулей, в которых может быть эксплуатирована данная уязвимость. Проблема затрагивает основную поставку Drupal только для ветки Drupal 8.x. Ветка Drupal 7 сама по себе не требует обновления, но вышеупомянутые варианты модулей для неё подвержены проблеме и требуют отдельного обновления.
