Уязвимости в CMS Drupal пропатчены в новом релизе

В CMS Drupal был обнаружен целый ряд уязвимостей. Уязвимость в модуле загрузки файлов из состава Drupal 6.x и 7.x позволяет удалённому хакеру инициировать выполнение произвольного PHP-кода на сервере через обход механизмов проверки корректности имени загружаемого файла, что позволяет загрузить файл как скрипт .php и выполнить его через обращение по URL.

Для успешной атаки атакующий должен иметь доступ к функциям загрузки файлов, а http-сервер не должен блокировать выполнение php-скриптов в директории, используемой для сохранения загружаемых данных (при использовании apache выполнение таких скриптов по умолчанию запрещается в поставляемом с Drupal файле .htaccess);

Проблемы устранены в корректирующих выпусках Drupal 7.18 и 6.27.