Zespół odpowiedzialny za bezpieczeństwo Drupala informuje o bardzo groźnej podatności. Administratorzy „kropelek” proszeni są o pilną aktualizację rdzenia do najnowszej wersji 8.6.10 lub 8.5.11, jeżeli strona działa w oparciu o linię 8.5. Wersja poprzednia Drupal 7 nie otrzymała łatek bezpieczeństwa dla rdzenia, ponieważ wystarczy zaktualizować moduły do tłumaczeń i metatag:
If you are using Drupal 8.6.x, upgrade to Drupal 8.6.10.
If you are using Drupal 8.5.x or earlier, upgrade to Drupal 8.5.11.
Be sure to install any available security updates for contributed projects after updating Drupal core.
No core update is required for Drupal 7, but several Drupal 7 contributed modules do require updates.
Luka CVE-2019-6340 została określona przez zespół od bezpieczeństwa silnika Drupal jako wysoce krytyczna (highly critical). Błąd otrzymał 20 punktów na 25 możliwych. W niektórych przypadkach atakujący może spowodować wykonanie dowolnego kodu PHP, ale przy założeniu, że witryna ma włączony moduł RESTful Web Services (rest) i zezwala na żądania PATCH lub POST, albo witryna ma włączony moduł JSON:API w Drupal 8 lub RESTful Web Services w Drupal 7.
Szczegóły o aktualizacji i o ewentualnych błędach: https://www.drupal.org/project/drupal/releases/8.6.10
