Рекомендации по устранению уязвимости в Drupal 6.x, 7.x и 8.x CVE-2018-7600

Служба реагирования на компьютерные инциденты KZ-CERT сообщает, что в системе управления контентом Drupal выявлена критическая уязвимость (CVE-2018-7600), которую можно использовать для удалённого выполнения кода на сервере через отправку специально оформленного запроса без аутентификации. Проблема достаточно проста в эксплуатации и затрагивает ветки Drupal 8, 7 и 6. Всем пользователям рекомендуется срочно установить обновления Drupal 8.5.1, 7.58, 8.3.9, 8.4.6 или использовать патч.

Интернет-ресурсам, работающим на версиях 7.x и 8.x, нужно установить обновление ядра до последней версии, или, если это по каким-то причинам невозможно, установить на ядро патч, ссылки на соответствующие патчи и версии есть в информационном листке Drupal Security Team.

Владельцам сайтов на неподдерживаемой в настоящий момент 6-й версии необходимо установить патч в проекте Drupal 6 Long Term Support, скачать его можно тут: www.drupal.org/project/d6lts/issues/2955130