A falha permitia aos atacantes executar código PHP de forma arbitrária convencendo um administrador a visitar um site malicioso, e dessa forma levaria à criação de um diretório no sistema de ficheiros.

A este problema foi atribuído o CVE-2020-13664.

Versões afetadas:

8 e 9

Segundo os investigadores, a falha podia ser explorada em certas circunstâncias, impactando principalmente servidores Windows.

Há ainda uma falha que foi também corrigida, de Server Side Request Forgery, cuja principal razão de se residia na falta de validação do input do utilizador - CVE-2020-13663

Versões afetadas:

7, 8, e 9.

Mais informações sobre a falha de execução de código PHP: https://www.cybersecurity-help.cz/vdb/SB2019022101

A falha de SSRF pode ser encontrada aqui: https://www.cybersecurity-help.cz/vdb/SB2020061810

Página oficial do Drupal para correções de falhas: https://www.drupal.org/security