Выпущены новые версии системы управления контентом Drupal (7.56 и 8.3.4), в рамках которых ликвидировано несколько уязвимостей, применяемых для рассылки спама.
Была устранена серьезная уязвимость, вследствие которой доступ к файлам, загруженным анонимным пользователем, имел не только он сам, но и все остальные анонимные пользователи. Проблема присутствовала только на сайтах, допускавших загрузку файлов анонимами.
Разработчики Drupal в октябре прошлого года узнали о том, что эта уязвимость используется хакерами. Тогда представители компании сообщали, что киберпреступники с помощью неправильно настроенных установок Drupal хранили вредоносные файлы и осуществляют переадресацию пользователей к этим объектам. Благодаря новому патчу пресечена возможность подобных атак на Drupal-сайты.
Кроме того, в Drupal 8.3.4 ликвидирована критическая уязвимость в процессе обработки небезопасных объектов парсером PECL YAML. Используя данную ошибку, хакеры могли дистанционно выполнять произвольной код.
