В версиях Drupal 7, 8.5 и 8.6 исправлены две серьезные уязвимости, позволяющие удаленно выполнить произвольный код.
Первая уязвимость связана с тем, как встроенная в PHP обертка потока phar обрабатывает недоверенные унификаторы URI phar://. В связи с уязвимостью разработчики системы управления контентом (CMS) решили добавить .phar в список опасных расширений. Поэтому во избежание эксплуатации уязвимости загруженные в Drupal файлы .phar будут автоматически конвертированы в .txt.
Разработчики Drupal также деактивировали обертку потока phar:// на сайтах под управлением Drupal 7 с версиями PHP ниже 5.3.3. В более ранних версиях PHP обертку потока можно повторно включить вручную, однако в таком случае существует угроза эксплуатации уязвимости злоумышленниками.
Вторая уязвимость связана со сторонней библиотекой PEAR Archive_Tar для работы с файлами .tar в PHP. Эксплуатация уязвимости, предполагающая использование обертки потока phar и особым образом сконфигурированного файла .tar, может привести к удалению файлов и потенциально к удаленному выполнению кода. Разработчики Archive_Tar исправили уязвимость (CVE-2018-1000888), и обновленная библиотека была добавлена в ядро Drupal.
Обе вышеописанные уязвимости были исправлены в версиях Drupal 8.6.6, 8.5.9 и 7.62. Версии Drupal 8 до 8.5.x больше не поддерживаются производителем и не получают обновлений безопасности.