A situação ocorria devido à falha da aplicação em sanitizar de forma apropriada os nomes dos ficheiros carregados.

De acordo com a NIST, este CVE foi considerado crítico, já que o atacante conseguia explorar a falha através do carregamento de determinadas extensões de ficheiro, mais especificamente ficheiros em phar, php, cgi, py, html, phtml, js e asp.Carregando um ficheiro com uma destas extensões, conseguia executar código remotamente no servidor.

Versões corrigidas do CMS:

7.74

8.8.11

8.9.9

9.0.8

Os desenvolvedores do CMS recomendam ainda aos administradores que tomem atenção aos ficheiros com dupla extensão nos servidores, já que também podem servir como vetor de entrada para este tipo de ataque.

Mais informações na página oficial de advisory do Drupal: https://www.drupal.org/sa-core-2020-012