Проблема CVE-2018-7600 позволяет злоумышленнику выполнить произвольный код в основном компоненте системы.

28.03.2018  Разработчики системы управления контентом Drupal исправили критическую уязвимость, позволяющую хакерам перехватывать контроль над сайтом.

Ранее команда Drupal анонсировала выход данных исправлений, предупредив, что «эксплоиты могут быть разработаны в течение нескольких часов или дней» после раскрытия уязвимости.

Проблема CVE-2018-7600 позволяет злоумышленнику выполнить произвольный код в основном компоненте системы и перехватить контроль над сайтом. Атакующему не нужно регистрироваться или аутентифицироваться на целевом ресурсе, достаточно лишь отправить специально сформированный HTTP запрос на уязвимый сайт. В сообществе Drupal данная уязвимость получила название Drupalgeddon2.

В настоящее время нет сведений о доступных PoC-кодах или эксплоитах для данной уязвимости, однако различные исследователи безопасности уже начали изучать патч.

По словам команды Drupal, пока не зафиксировано атак, в ходе которых эксплуатировалась данная уязвимость.

Помимо исправлений для двух основных версий Drupal 7.x и 8.x, команда также объявила о выходе патчей для версии 6.x, поддержка которой была прекращена в феврале 2016 года.

Владельцам сайтов, использующих Drupal, рекомендуется немедленно обновиться до Drupal 7.58 или Drupal 8.5.1 в зависимости от версии, с которой они работают.